Políticas de Seguridad

Última revisión: 20 de Septiembre de 2018.

INTRODUCCION

En Servicios Integrados de Crédito, S.A. de C.V. (SiCredit) se identifica la información como un componente indispensable en la conducción y consecución de los objetivos definidos por la estrategia de la Organización, razón por la cual es necesario establecer un marco en el cual se asegure que la información es protegida de manera adecuada, independientemente de la forma en la que ésta sea manejada, procesada, transportada o almacenada.

Este documento describe las políticas y normas de seguridad de la información definidas por SiCredit. Para la elaboración del mismo, se toman como base las leyes y demás regulaciones aplicables a la norma ISO 27001:2013.

Las políticas incluidas en este manual constituyen parte fundamental del sistema de gestión de seguridad de la información de SiCredit y se convierten en la base para la implantación de los controles, procedimientos y estándares definidos.

La seguridad de la información es una prioridad para SiCredit y por tanto es responsabilidad de todos velar por que no se realicen actividades que contradigan la esencia y el espíritu de cada una de estas políticas.

OBJETIVO

Establecer las políticas de seguridad de la información de SiCredit, con el fin de regular la gestión de la seguridad de la información en la Organización.

ALCANCE

Las políticas de seguridad de la información cubren todos los aspectos administrativos y de control que deben ser cumplidos por los Directivos y todo el personal de la Organización que laboren en SiCredit, así como sus partes interesadas, para conseguir un adecuado nivel de protección de seguridad y calidad de la información relacionada con nuestros Clientes.

DEFINICIONES

Activo de información: cualquier componente (humano, tecnológico, software, documental o de infraestructura) que soporta uno o más procesos de negocios de la Organización y, en consecuencia, debe ser protegido.

Acuerdo de Confidencialidad: es un documento en los que los empleados de SiCredit o los provistos por terceras partes manifiestan su voluntad de mantener la confidencialidad de la información de la Organización, comprometiéndose a no divulgar, usar o explotar la información confidencial a la que tengan acceso en virtud de la labor que desarrollan dentro o fuera de la misma.

Análisis de riesgos de seguridad de la información: proceso sistemático de identificación de fuentes, estimación de impactos, probabilidades y comparación de dichas variables contra criterios de evaluación para determinar las consecuencias potenciales de pérdida de confidencialidad, integridad y disponibilidad de la información.

Autenticación: es el procedimiento de comprobación de la identidad de un usuario o recurso tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información.

Capacity Planning: es el proceso para determinar la capacidad de los recursos de la plataforma tecnológica que necesita la entidad para satisfacer las necesidades de procesamiento de dichos recursos de forma eficiente y con un rendimiento adecuado.

Cifrado: es la transformación de los datos mediante el uso de la criptografía para producir datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una técnica muy útil para prevenir la fuga de información, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de información.

Confidencialidad: es la garantía de que la información no está disponible o divulgada a personas, entidades o procesos no autorizados.

Control: es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye políticas, procedimientos, guías, estructuras organizacionales y buenas prácticas, que pueden ser de carácter administrativo, tecnológico, físico o legal.

Criptografía: es la disciplina que agrupa a los principios, medios y métodos para la transformación de datos con el fin de ocultar el contenido de su información, establecer su autenticidad, prevenir su modificación no detectada y/o prevenir su uso no autorizado.

Custodia del activo de información: es la unidad organizacional o proceso, designado por los propietarios, encargado de mantener las medidas de protección establecidas sobre los activos de información confiados.

Derechos de Autor: es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores por el solo hecho de la creación de una obra literaria, artística o científica, tanto publicada o que todavía no se haya publicado.

Disponibilidad: es la garantía de que los usuarios autorizados tienen acceso a la información y a los activos asociados cuando lo requieren.

Equipo de cómputo: dispositivo electrónico capaz de recibir un conjunto de instrucciones y ejecutarlas realizando cálculos sobre los datos numéricos, o bien compilando y correlacionando otros tipos de información.

Guías de clasificación de la información: directrices para catalogar la información de la Organización y hacer una distinción entre la información que es crítica y aquella que lo es menos o no lo es y, de acuerdo con esto, establecer diferencias entre las medidas de seguridad a aplicar para preservar los criterios de confidencialidad, integridad y disponibilidad de la información.

Hacking ético: es el conjunto de actividades para ingresar a las redes de datos y voz de la Organización con el objeto de lograr un alto grado de penetración en los sistemas, de forma controlada, sin ninguna intensión maliciosa, ni delictiva y sin generar daños en los sistemas o redes, con el propósito de mostrar el nivel efectivo de riesgo al cual está expuesta la información, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad.

Incidente de Seguridad: es un evento adverso, confirmado o bajo sospecha, que haya vulnerado la seguridad de la información o que intente vulnerarla, sin importar la información afectada, la plataforma tecnológica, la frecuencia, las consecuencia, el número de veces ocurrido o el origen (interno o externo).

Integridad: es la protección de la exactitud y estado completo de los activos.

Inventario de activos de información: es una lista ordenada y documentada de los Activos de información pertenecientes a la Organización.

Licencia de software: es un contrato en donde se especifican todas las normas y cláusulas que rigen el uso de un determinado producto de software, teniendo en cuenta aspectos como: alcances de uso, instalación, reproducción y copia de estos productos.

Medio removible: es cualquier componente extraíble de hardware que sea usado para el almacenamiento de información; los medios removibles incluyen cintas, discos duros removibles, Cd’s, DVD y unidades de almacenamiento USB, entre otras.

Perfiles de usuario: son grupos que concentran varios usuarios con similares necesidades de información y autorizaciones idénticas sobre los recursos tecnológicos o los sistemas de información a los cuales se les concede acceso de acuerdo con las funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a todos los usuarios incluidos dentro de él.

Propiedad intelectual: es el reconocimiento de un derecho particular en favor de un autor u otros titulares de derechos, sobre las obras del intelecto humano. Este reconocimiento es aplicable a cualquier propiedad que se considere de naturaleza intelectual y merecedora de protección, incluyendo las invenciones científicas y tecnológicas, las producciones literarias o artísticas, las marcas y los identificadores, los dibujos y modelos industriales y las indicaciones geográficas.

Propietario de la información: es la unidad organizacional o proceso donde se crean los activos de información.

Recursos tecnológicos: son aquellos componentes de hardware y software tales como: servidores (de aplicaciones y de servicios de red), estaciones de trabajo, equipos portátiles, dispositivos de comunicaciones y de seguridad, servicios de red de datos y bases de datos, entre otros, los cuales tienen como finalidad apoyar las tareas administrativas necesarias para el buen funcionamiento y la optimización del trabajo al interior de SiCredit.

Registros de Auditoría: son archivos donde son registrados los eventos que se han identificado en los sistemas de información, recursos tecnológicos y redes de datos de la Organización. Dichos eventos pueden ser, entre otros, identificación de usuarios, eventos y acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos, cambios a la configuración, uso de utilidades y fallas de los sistemas.

Responsable por el activo de información: es la persona o grupo de personas, designadas por los propietarios, encargados de velar por la confidencialidad, la integridad y disponibilidad de los activos de información y decidir la forma de usar, identificar, clasificar y proteger dichos activos a su cargo.

SGSI: Sistema de Gestión de Seguridad de la Información.

Sistema de información: es un conjunto organizado de datos, operaciones y transacciones que interactúan para el almacenamiento y procesamiento de la información que, a su vez, requiere la interacción de uno o más activos de información para efectuar sus tareas. Un sistema de información es todo componente de software ya sea de origen interno, es decir desarrollado por SiCredit o de origen externo ya sea adquirido por la Organización como un producto estándar de mercado o desarrollado para las necesidades de ésta.

Sistemas de control ambiental: son sistemas que utilizan la climatización, un proceso de tratamiento del aire que permite modificar ciertas características del mismo, fundamentalmente humedad y temperatura y, de manera adicional, también permite controlar su pureza y su movimiento.

Software malicioso: es una variedad de software o programas de códigos hostiles e intrusivos que tienen como objeto infiltrarse o dañar los recursos tecnológicos, sistemas operativos, redes de datos o sistemas de información.

Terceros: todas las personas, jurídicas o naturales, como proveedores, contratistas o consultores, que provean servicios o productos a la Organización.

Vulnerabilidades: son las debilidades, hoyos de seguridad o flaquezas inherentes a los activos de información que pueden ser explotadas por factores externos y no controlables por la Organización (amenazas), las cuales se constituyen en fuentes de riesgo.

Evaluación de Riesgos: Se entiende por evaluación de riesgos a la evaluación de las amenazas y vulnerabilidades relativas a la información y a las instalaciones de procesamiento de la misma, la probabilidad de que ocurran y su potencial impacto en la operación de la Organización.

Administración de Riesgos: Se entiende por administración de riesgos al proceso de identificación, control y minimización o eliminación, a un costo aceptable, de los riesgos de seguridad que podrían afectar a la información. Dicho proceso es cíclico y debe llevarse a cabo en forma periódica.

IDS (Intrusion Detection System) : Sistema de detección de intrusos es una herramienta de análisis de red que permite identificar comportamientos en la red basados en ataques conocidos (datos de ataques comunes) o comportamientos sospechosos.

IPS (Intrusion Prevention System): Sistema de prevención de intrusos ejerce el control de acceso a la red, evitando ataques externos.

ANEXO A

A.5 Política de seguridad de información

En SiCredit la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso expreso de protección de sus propiedades más significativas como parte de una estrategia orientada a la continuidad del negocio, la administración de riesgos y la consolidación de una cultura de seguridad.

Consciente de las necesidades actuales, SiCredit implementa un modelo de gestión de seguridad de la información como la herramienta que permite identificar y minimizar los riesgos a los cuales se expone la información, ayuda a la reducción de costos operativos y financieros, establece una cultura de seguridad y garantiza el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio vigentes.

El Personal de Oficinas, Personal externo, proveedores y todos aquellos que tengan responsabilidades sobre las fuentes, repositorios y recursos de procesamiento de la información de SiCredit, deben adoptar los lineamientos contenidos en el presente documento y en los documentos relacionados con él, con el fin de mantener la confidencialidad, la integridad y asegurar la disponibilidad de la información.

El Manual de Política de Seguridad de la Información de SiCredit se encuentra soportado por políticas, normas y procedimientos específicos los cuales guiarán el manejo adecuado de la información de la Organización. Adicionalmente, se establecerán políticas específicas de seguridad de la información las cuales se fundamentan en los dominios y objetivos de control del Anexo A de la norma internacional ISO 27001:2013.

El Comité Integral tendrá la autoridad de modificar el Manual de Políticas de Seguridad de la Información o las Políticas Específicas de Seguridad de la Información de acuerdo con las necesidades de revisión establecidas periódicamente o a la aplicabilidad de las mismas.

5.1 Política de Seguridad de Información

Las Políticas de Seguridad de la Información pretende instituir y afianzar una cultura de seguridad de la información entre los Empleados, personal externo, proveedores y partes interesadas de SiCredit. Por tal razón, a las violaciones a las Políticas Seguridad de la Información serán tratadas como acciones correctivas como lo describe el procedimiento de acciones correctivas y preventivas de la organización y derivado del análisis de dichas acciones se aplicaran medidas correctivas a fin de mitigar posibles afectaciones contra la seguridad de la información. Las medidas correctivas pueden considerar las descritas en el reglamento interior de trabajo y pueden ser desde Actas administrativas, hasta acciones de orden disciplinario o penal, de acuerdo con las circunstancias, si así lo ameritan.

5.1.1 Políticas de Seguridad de información

El Director General, Director de Operaciones y el Coordinador de Sistemas, deben vigilar el cumplimiento de lo establecido en ésta Política.

El Director de Operaciones, los Coordinadores y Supervisores de áreas operativas, así como, el personal de SiCredit, deberán cumplir con lo que les corresponda, de acuerdo a lo establecido en ésta Política.

El Comité Integral está compuesto por los representantes de los distintos departamentos de SiCredit y el representante de la Alta Dirección. Este Comité está encargado de elaborar y actualizar las políticas, normas, pautas y procedimientos relativos a seguridad de la Información. También es responsable de coordinar el análisis de riesgos, planes de contingencia y prevención de desastres. Durante sus reuniones programadas, el Comité efectuará la evaluación y revisión de la situación de la organización en cuanto a la Seguridad de la Información, incluyendo el análisis de incidentes ocurridos y que afecten la seguridad.

El Área Sistemas es responsable de implantar y velar por el cumplimento de las políticas, normas, pautas, y procedimientos de seguridad de la información en toda la organización, todo esto en coordinación con la Alta Dirección. También es responsable de evaluar e implantar productos de seguridad de la información, y realizar las demás actividades necesarias para garantizar un ambiente informático seguro. Además debe ocuparse de proporcionar apoyo técnico y administrativo en todos los asuntos relacionados con la seguridad de la información y en particular en los casos de infección de virus, penetración de hackers, fraudes y otros percances.

El Administrador de Sistemas es responsable de establecer los controles de acceso apropiados para cada usuario, supervisar el uso de los recursos informáticos, revisar las bitácoras de acceso y de llevar a cabo las tareas de seguridad relativas a los sistemas que administra, como por ejemplo, aplicar inmediatamente los parches correctivos cuando le llegue la notificación del fabricante del producto. El Administrador de Sistemas también es responsable de informar al Comité Integral sobre toda actividad sospechosa o evento insólito.

Los usuarios son responsables de cumplir con todas las políticas de SiCredit relativas a la seguridad de la información.

5.1.2 Revisión de las Política de Seguridad de Información

La Alta Dirección de SiCredit aprueba este Manual de Políticas de Seguridad de la Información como muestra de su compromiso y apoyo en el diseño e implementación de políticas eficientes que garanticen la seguridad de la información de la Organización.

La Alta Dirección de la Organización demuestra su compromiso a través de:

  • La revisión y aprobación de las Políticas de Seguridad de la Información contenidas en este documento por lo menos una vez al año.
  • La promoción activa de una cultura de seguridad.
  • Facilitar la divulgación de este Manual de Políticas de Seguridad de la información a todos los empleados de la Organización.
  • El aseguramiento de los recursos adecuados para implementar y mantener las políticas de seguridad de la información.
  • La verificación del cumplimiento de las políticas aquí mencionadas.

A.6 Gestión De La Seguridad De La Información

6.1 Organización Interna

SiCredit establecerá un esquema de seguridad de la información en donde existan roles y responsabilidades definidos que consideren actividades de administración, operación y gestión de la seguridad de la información.

6.1.1 Roles Y Responsabilidades Sobre Seguridad De La Información

Las violaciones a las Políticas y Controles de Seguridad de la Información serán reportadas, registradas y monitoreadas a través del procedimiento de Acciones correctivas de la organización.

Normas Dirigidas a: ALTA DIRECCIÓN

  • Debe definir y establecer los roles y responsabilidades relacionados con la seguridad de la información en niveles directivo y operativo.
  • Debe definir y establecer el procedimiento de contacto con las autoridades en caso de ser requerido, así como los responsables para establecer dicho contacto.
  • Debe revisar y aprobar las Políticas de Seguridad de la Información contenidas en este documento.
  • Debe promover activamente una cultura de seguridad de la información en la Organización.
  • Debe facilitar la divulgación de las Políticas de Seguridad de la Información a todas las partes interesadas de la Organización.
  • Deben asignar los recursos, la infraestructura física y el personal necesario para la gestión de la seguridad de la información de la Organización.

Normas Dirigidas a: COMITÉ INTEGRAL

  • Debe actualizar y presentar ante la Alta Dirección las Políticas de Seguridad de la Información, la metodología para el análisis de riesgos de seguridad y la metodología para la clasificación de la información, según lo considere pertinente.
  • Debe analizar los incidentes de seguridad que le son escalados y activar el procedimiento de contacto con las autoridades, cuando lo estime necesario.
  • Debe verificar el cumplimiento de las Políticas de seguridad de la información aquí mencionadas.
  • Debe liderar la generación de lineamientos para gestionar la seguridad de la información de SiCredit y el establecimiento de controles técnicos, físicos y administrativos derivados de análisis de riesgos de seguridad.
  • Debe validar y monitorear de manera periódica la implantación de los controles de seguridad establecidos.
  • Debe planear y ejecutar las auditorías internas al Sistema de integral de Gestión de SiCredit a fin de determinar si las Políticas, procesos, procedimientos y controles establecidos están conformes con los requerimientos institucionales, requerimientos de seguridad y regulaciones aplicables.
  • Debe ejecutar revisiones totales o parciales de los procesos o áreas que hacen parte del alcance del Sistema de Gestión de Seguridad de la Información, con el fin de verificar la eficacia de las acciones correctivas cuando sean identificadas las no conformidades.
  • Debe informar a las áreas responsables los hallazgos de las auditorías.

Normas dirigidas a: COORDINACIÓN DE SISTEMAS

  • Debe asignar las funciones, roles y responsabilidades, a los empleados para la operación y administración de la plataforma de la Organización. Dichas funciones, roles y responsabilidades deben encontrarse documentadas y apropiadamente segregadas.

Normas dirigidas a: TODOS LOS USUARIOS

  • Los empleados que realicen labores en SiCredit, tienen la responsabilidad de cumplir con las Políticas, normas, procedimientos y estándares referentes a la seguridad de la información.

6.1.2 Segregación De Tareas

  • Toda tarea en la cual los Usuarios tengan acceso a la infraestructura tecnológica y a los sistemas de información, debe contar con una definición clara de los roles y responsabilidades, así como del nivel de acceso y los privilegios correspondientes, con el fin de reducir y evitar el uso no autorizado o modificación sobre los activos de información de la Organización, estos se encuentran definidos en la carta “designación de Responsabilidades”.
  • Todos los sistemas de disponibilidad crítica o media de la Organización, deben implementar las reglas de acceso de tal forma que haya segregación de tareas entre quien administre, opere, mantenga, audite y, en general, tenga la posibilidad de acceder a los sistemas de información, así como entre quien otorga el privilegio y quien lo utiliza.
  • Deben estar claramente segregadas las tareas de Sistemas, Coordinación y Operación.
  • Las tareas y áreas de responsabilidad deben estar segregados para reducir las oportunidades de una modificación no-autorizada o mal uso no-intencional o mal uso de los activos de la organización.
  • Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorización o detección.
  • Se debe separar la iniciación de un evento de su autorización.
  • Se debe considerar la posibilidad de colusión en el diseño de los controles.

6.1.3 Contacto Con Las Autoridades

  • El Área Administrativa deberá tener actualizado el Directorio de las Autoridades y Grupos de Interés especial de la Organización.
  • En caso de contactar con las autoridades, estas se deberán de aplicar de acuerdo a los Incidentes determinados en la Tabla de Análisis de Riesgos.
  • Reportar de forma inmediata a la Policía Cibernética a la siguiente cuenta de correo (policia_cibernetica@ssp.gob.mx) o a los siguientes números telefónicos 01-800-440-3690; en el D. F. al 51-40-36-90 en caso de encontrase bajo la amenaza de Ciberataque.
  • Cualquier comunicado escrito recibido de las autoridades regulatorias deberá ser recibido y atendido únicamente por personal del área administrativa contable, el Contador de la Empresa y/o Representante Legal.
  • Para la comunicación de las autoridades regulatorias vía electrónica, solamente se les proporcionará el correo electrónico del Contador y/o Representante Legal, para que por este medio sean recibidos los comunicados.
  • Se deberá tener actualizado el directorio de los servicios de emergencia y publicado en las áreas de Vigilancia y Recepción para mantener el contacto.

6.1.4 Contacto Con Grupos De Especial Interés

  • El Área Administrativa deberá tener actualizado el Directorio de los Grupos de Interés especial de la Organización.

Empleados

  • Propiciar acciones de aprendizaje dirigidas a desarrollar los conocimientos y habilidades necesarias para garantizar un óptimo desempeño, logrando al mismo tiempo el desarrollo de los colaboradores.
  • Garantizar el respeto a su dignidad e individualidad y facilitar un ambiente para su bienestar y desarrollo.

Accionistas

  • Buscar proporcionar una rentabilidad razonable de manera sostenida.
  • Transparencia en la información y mayor generación de valor para nuestros accionistas.

Clientes

  • Conocer a sus clientes para poder ofrecer el producto/servicio que sea más acorde a sus necesidades.
  • Brindar un servicio profesional y buscar apoyarlos en su crecimiento y desarrollo, a través del valor de nuestros servicios y experiencia.
  • Velar por la seguridad y la confidencialidad de sus clientes y su información.
  • Dar un trato amable y cordial, mostrando interés por todos sus clientes.
  • Entregar toda la información necesaria de nuestros productos y servicios, para una mejor toma de decisiones por parte de nuestros clientes, de manera clara, transparente y oportuna.

Proveedores

  • El personal de Compras no utilizará la influencia sobre las decisiones de contratación para su beneficio personal.
  • Se deberá promover la igualdad de oportunidades a todos los proveedores para que oferten sus productos y/o servicios en los procesos de compra.
  • Hacer una revisión periódica a los proveedores contratados centralizadamente, así como del cumplimiento de sus compromisos.
  • Mantener relaciones cordiales, propiciar su desarrollo y cubrir el costo de sus servicios de acuerdo a los términos contractuales acordados.

Competencia

  • Contender de manera vigorosa y objetiva, basándonos en prácticas de comercio legales.

Gobierno

  • Generar un ambiente de cumplimiento de las legislaciones vigentes donde operamos, promover una relación y comunicación cercana y respetuosa, colaborar en proyectos e iniciativas en beneficio a la comunidad.
  • Atender los requerimientos de información durante la visita de inspección en cada unidad de la empresa por parte de los organismos reguladores y/o de supervisión.
  • Responder a los requerimientos de información financiera, así como los informes complementarios solicitados por los organismos reguladores y/o de supervisión.
  • Responder de manera adecuada y dentro de los plazos definidos, las notificaciones que los organismos reguladores y/o de supervisión emiten como resultado de las visitas de inspección y asimismo, se efectúe el seguimiento a la implementación de las modificaciones que permitan superar las observaciones producto de dichas visitas.
  • Comunicar a los organismos reguladores y/o de supervisión sobre eventualidades en la empresa que le impidan cumplir con los plazos de entrega de información financiera y/o que afecte el curso normal de sus actividades.
  • Cumplimiento de la Ley y buenas relaciones con el Gobierno.

Medio Ambiente

  • Apoyar iniciativas que promuevan el respeto y preservación del medio ambiente.
  • Organismos Empresariales.
  • Compartir experiencias y mejores prácticas en un ambiente de cordialidad y respeto.

6.1.5 Seguridad De Información En La Gestión De Proyectos

  • En todos los nuevos proyectos de la Organización se deberá firmar un Convenio de Confidencialidad.
  • Se deberá firmar el NDA (Convenio de Confidencialidad) con todos los prospectos de Clientes con el objetivo de compartir material confidencial, conocimientos e información de la Organización.
  • Se deberá firmar el NDA (Convenio de Confidencialidad) con los prospectos de proveedores de la Organización.
  • Se deberá firmar el aviso de privacidad para todos los posibles candidatos que pretendan colaborar en la organización.

6.2 Dispositivos Móviles Y Teletrabajo

Objetivo: Garantizar el uso de los dispositivos móviles y la seguridad del teletrabajo (Conexiones Remotas)

6.2.1 Política de Dispositivos Móviles

SiCredit proveerá las condiciones para el manejo de los dispositivos móviles (teléfonos Inteligentes, lap tops) institucionales que se utilizan en la Organización. Así mismo, velará porque los usuarios hagan un uso responsable de los servicios y equipos proporcionados por la Organización, se hará la revisión por lo menos 1 vez al mes vía remota.

Normas para uso de dispositivos móviles

Normas dirigidas a: SISTEMAS

  • El área de Sistemas debe investigar y probar las opciones de protección de los dispositivos móviles institucionales que hagan uso de los servicios provistos por SiCredit.
  • El Área de Sistemas debe establecer las configuraciones aceptables para los dispositivos móviles institucionales o personales que hagan uso de los servicios provistos por SiCredit.
  • El Área de Sistemas debe establecer un método de bloqueo (por ejemplo, contraseñas, biométricos, patrones) para los dispositivos móviles institucionales que serán entregados a los usuarios. Se debe configurar estos dispositivos para que pasado un tiempo de inactividad se active el bloqueo de la pantalla el cual requerirá el método de desbloqueo configurado.
  • El Área de Sistemas debe activar la opción de cifrado de la memoria de almacenamiento (interna o externa) de los dispositivos móviles institucionales haciendo imposible la copia o extracción de datos si no se conoce el método de desbloqueo.
  • El Área de Sistemas debe configurar la opción de conexión remota en los dispositivos móviles institucionales, con el fin de eliminar los datos de dichos dispositivos y restaurarlos a los valores de fábrica, de forma remota, evitando así divulgación no autorizada de información en caso de pérdida o hurto.
  • El Área de Sistemas debe instalar un software de antivirus en los dispositivos móviles institucionales que hagan uso de los servicios provistos por SiCredit.
  • El Área de Sistemas debe activar los códigos de seguridad de la tarjeta SIM para los dispositivos móviles institucionales antes de asignarlos a los usuarios y almacenar estos códigos en un lugar seguro.

Normas dirigidas a: TODOS LOS USUARIOS

  • Los usuarios deben evitar usar los dispositivos móviles institucionales en lugares que no les ofrezcan las garantías de seguridad física necesarias para evitar pérdida o robo de estos.
  • Los usuarios no deben modificar las configuraciones de seguridad de los dispositivos móviles institucionales bajo su responsabilidad, ni desinstalar el software provisto con ellos al momento de su entrega.
  • Los usuarios deben evitar la instalación de programas desde fuentes desconocidas; se deben instalar aplicaciones únicamente desde los repositorios oficiales de los dispositivos móviles institucionales.
  • Los usuarios deben, cada vez que el sistema de sus dispositivos móviles institucionales notifique de una actualización disponible, aceptar y aplicar la nueva versión.
  • Los usuarios deben evitar hacer uso de redes inalámbricas de uso público, así como deben desactivar el Bluetooth, en los dispositivos móviles institucionales asignados.
  • Los usuarios deben evitar conectar los dispositivos móviles institucionales asignados por puerto USB a cualquier computadora pública, de hoteles o cafés internet, entre otros.
  • Los usuarios no deben almacenar videos, fotografías o información personal en los dispositivos móviles institucionales asignados.

6.2.2 Teletrabajo

SiCredit establecerá las circunstancias y requisitos para el establecimiento de conexiones remotas a la plataforma tecnológica de la Organización; así mismo, suministrará las herramientas y controles necesarios para que dichas conexiones se realicen de manera segura.

Normas para uso de conexiones remotas

Normas dirigidas a: SISTEMAS

  • El Área de Sistemas, deben analizar y aprobar los métodos de conexión remota a la plataforma tecnológica de SiCredit.
  • El Área de Sistemas debe implantar los métodos y controles de seguridad para establecer conexiones remotas hacia la plataforma tecnológica de SiCredit.
  • El Área de Sistemas debe restringir las conexiones remotas a los recursos de la plataforma tecnológica; únicamente se deben permitir estos accesos a personal autorizado y por periodos de tiempo establecidos, de acuerdo con las labores desempeñadas y debe de ser autorizado por el Director General de acuerdo a la matriz de facultades.
  • En caso de requerir conexiones remotas estas solo podrán efectuarse a través de vpn seguras.
  • El Área de Sistemas debe verificar la efectividad de los controles aplicados sobre las conexiones remotas a los recursos de la plataforma tecnológica de SiCredit de manera permanente.
  • El Área de Sistemas debe, dentro de su autonomía, realizar auditorías sobre los controles implantados para las conexiones remotas a la plataforma tecnológica de SiCredit.

Normas dirigidas a: TODOS LOS USUARIOS

  • Los usuarios que realizan conexión remota deben contar con las aprobaciones requeridas para establecer dicha conexión a los dispositivos de la plataforma tecnológica del SiCredit y deben acatar las condiciones de uso establecidas para dichas conexiones.
  • Los usuarios únicamente deben establecer conexiones remotas en computadoras previamente identificadas y, bajo ninguna circunstancia, en computadoras públicas, de hoteles o cafés internet, entre otros.

A.7 Seguridad De Los Recursos Humanos

7.1 Previo Al Empleo

SiCredit en su interés por proteger su información y los recursos de procesamiento de la misma demostrará el compromiso de la Alta Dirección en este esfuerzo, promoviendo que el personal cuente con el nivel deseado de conciencia en seguridad de la información para la correcta gestión de los activos de información y ejecutando el proceso disciplinario necesario cuando se incumplan las Políticas de seguridad de la información de la Organización.

Todos los empleados de SiCredit deben ser cuidadosos de no divulgar información confidencial en lugares públicos, en conversaciones o situaciones que pongan en riesgos la seguridad y el buen nombre de la Organización.

SiCredit reconoce la importancia que tiene el factor humano para el cumplimiento de sus objetivos misionales y, con el interés de contar con el personal mejor calificado, garantizará que la vinculación de nuevo personal se realizara siguiendo un proceso formal de selección, acorde con la legislación vigente, el cual estará orientado a las funciones y roles que deben desempeñar los usuarios en sus cargos.

Controles para reducir los riesgos de error humano, robo, fraude y utilización abusiva de los equipamientos. Desde la vinculación del personal, se deben tener controles que permitan verificar la idoneidad e identidad, ética profesional y conducta.

Los términos y condiciones de empleo o trabajo deben establecer la responsabilidad de los empleados, por la seguridad de los activos de información, que van más allá de la finalización de la relación laboral o contractual, por lo que se debe firmar un acuerdo de confidencialidad que se hace extensivo a los proveedores y terceros que tengan acceso a la información.

Deben existir mecanismos de información y capacitación para los usuarios en materia de seguridad, así como de reporte de incidentes que puedan afectarla. Los empleados deben cooperar con los esfuerzos por proteger la información y ser responsables de actualizarse en cada materia, así como consultar con el encargado de la seguridad de la información, en caso de duda o desconocimiento de un procedimiento formal, ya que esto no lo exonera de una acción disciplinaria que deba llevarse a cabo cuando se incurra en violaciones a las Políticas o normas de seguridad.

  • Al momento de asignar un activo a un usuario, este debe hacerse responsable de el mismo y comprometerse a reportar cualquier falla y entregarlo en perfecto estado.
  • Los propietarios de la información deben definir los niveles de acceso de cada usuario.
  • Todos los empleados deben firmar su contrato laboral que contienen el acuerdo de confidencialidad.
  • Se deben realizar capacitaciones periódicas sobre los sistemas de información y el uso de la misma.
  • Se debe realizar capacitación a empleados sobre aspectos de seguridad de la información.
  • Los usuarios de servicios de información, al momento de tomar conocimiento directo o indirectamente acerca de una debilidad de seguridad, son responsables de registrar y comunicar las mismas al Comité Integral.

Generalidades

La seguridad de la información se basa en la capacidad para preservar su integridad, confidencialidad y disponibilidad, por parte de los elementos involucrados en su tratamiento: equipamiento, software, procedimientos, así como de los recursos humanos que utilizan dichos componentes.

En este sentido, es fundamental educar e informar al personal desde su ingreso y en forma continua, cualquiera que sea su situación, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad. De la misma forma, es necesario definir las sanciones que se aplicarán en caso de incumplimiento.

La implementación de las Políticas de Seguridad de la Información tiene como meta minimizar la probabilidad de ocurrencia de incidentes. Es por ello que resulta necesario implementar un mecanismo que permita reportar las debilidades y los incidentes tan pronto como sea posible, a fin de subsanarlos y evitar eventuales replicaciones. Por lo tanto, es importante analizar las causas del incidente producido y aprender del mismo, a fin de corregir las prácticas existentes, que no pudieron prevenirlo, y evitarlo en el futuro.

Objetivo

Reducir los riesgos de error humano, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la información.

Explicar las responsabilidades en materia de seguridad de la información en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado.

Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar las Políticas de Seguridad de la información de SiCredit en el transcurso de sus tareas normales.

Establecer Compromisos de Confidencialidad con todo el personal de las instalaciones de procesamiento de información.

Establecer las herramientas y mecanismos necesarios para promover la comunicación de debilidades existentes en materia de seguridad de la información, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

7.1.1 Investigación De Antecedentes

Los responsables de cada área junto con la Dirección de la Organización deben definir los perfiles de cualificación que definen las funciones y responsabilidades de seguridad de la organización, adecuados a los requisitos del puesto a ocupar, en los que se especificará las competencias que deben cubrir las personas que ocupen el puesto de trabajo en cuestión con base en la Carta de Designación de Responsabilidades

La selección de personal se realizará siguiendo estos perfiles e informando de las obligaciones y responsabilidades al empleado, junto a los términos y condiciones de contratación conforme indica el Procedimiento de Reclutamiento y Selección de Personal

Normas relacionadas con la vinculación de Empleados

Normas dirigidas a: RECURSOS HUMANOS

  • Debe de realizar un Estudio Socioeconómico al Empleado antes de ingresar y ocupar un cargo en SiCredit, y validar sus Referencias Personales y Laborales, así como su Carta de Antecedentes No Penales de acuerdo a lo establecido en el procedimiento de Reclutamiento y selección de personal.
  • Debe realizar las verificaciones necesarias para confirmar la veracidad de la información suministrada por el personal candidato a ocupar un cargo en SiCredit, antes de su vinculación definitiva.
  • Debe certificar que los empleados de la Organización firmen una Carta de Confidencialidad, Carta Responsiva de Claves y Facultades de Acceso a los Sistemas, Carta Responsiva de Claves y Facultades de Acceso a OWA y Mail, Carta Responsiva de Software y Carta de Designación de Responsabilidades; estos documentos deben ser anexados a los demás documentos relacionados con la ocupación del cargo y deberán estar anexados en el Expediente de cada uno de los empleados de la Organización.

7.1.2 Términos Y Condiciones Del Empleo

Se deberán de apegar a lo establecido en el Procedimiento de Reclutamiento y Selección de Personal y al modelo de contrato laboral donde se establecen los términos y condiciones de la relación laboral así como las responsabilidades del empleado en materia de seguridad de la información.

Cuando corresponda, los términos y condiciones de empleo establecerán que estas responsabilidades se extienden más allá de los límites de la sede de la Organización y del horario normal de trabajo.

Los derechos y obligaciones del empleado relativos a la seguridad de la información, por ejemplo en relación con las leyes de Propiedad Intelectual o la legislación de protección de datos, se encontrarán aclarados e incluidos en los términos y condiciones de empleo.

7.2 Durante El Empleo

Durante la vida laboral, todo el personal de SiCredit, deberá recibir una formación y concientización adecuada y actualizada del Sistema integral de Gestión, así como el “Manual de Políticas de Seguridad de la Información”, adaptada según el puesto de trabajo y las necesidades de seguridad que vayan siendo detectadas por parte de los responsables del área al que pertenezca el empleado.

La formación deberá de aplicarse con base al procedimiento de capacitación de la organización, y debe incluir requisitos de seguridad, responsabilidades legales y controles de negocio, así como formación en el uso correcto de los recursos de tratamiento de la información.

7.2.1 Responsabilidades Gerenciales

El Responsable del Área de Recursos Humanos incluirá las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados, informará a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de las Políticas de Seguridad de la Información, gestionará los Compromisos de Confidencialidad con el personal y coordinará las tareas de capacitación de usuarios respecto de la presente Política.

El Área de Sistemas tiene a cargo el seguimiento, documentación y análisis de los incidentes de seguridad de la información reportados, así como su comunicación al Comité Integral y a los propietarios de la información.

El Comité Integral será responsable de implementar los medios y canales necesarios para que el Área de Sistemas maneje los reportes de incidentes y anomalías de los sistemas. Así mismo, dicho Comité, tomará conocimiento, efectuará el seguimiento de la investigación, controlará la evolución e impulsará la resolución de los incidentes relativos a la seguridad de la información.

El Área de Administración participará en la confección del Compromiso de Confidencialidad a firmar por los empleados y terceros que desarrollen funciones en la Organización, en el asesoramiento sobre las sanciones a ser aplicadas por incumplimiento de la presente Política y en el tratamiento de incidentes de seguridad de la información que requieran de su intervención.

Todo el personal de SiCredit es responsable del reporte de debilidades e incidentes de seguridad que oportunamente se detecten.

Las funciones y responsabilidades en materia de seguridad de la Información serán incorporadas en la descripción de las responsabilidades de los puestos de trabajo (Carta de Designación de Responsabilidades)

Éstas incluirán las responsabilidades generales relacionadas con la implementación y el mantenimiento de la Política de Seguridad, y las responsabilidades específicas vinculadas a la protección de cada uno de los activos, o la ejecución de procesos o actividades de seguridad determinadas.

7.2.2 Concientización, Educación Y Capacitación En La Seguridad De La Información

Todos los empleados de SiCredit y cuando sea pertinente, que desempeñen funciones en la Organización, recibirán una adecuada capacitación y actualización periódica en materia de la política, normas y procedimientos de SiCredit. Esto comprende los requerimientos de seguridad y las responsabilidades legales, así como la capacitación referida al uso correcto de las instalaciones de procesamiento de información y el uso correcto de los recursos en general, como por ejemplo su Estación de Trabajo con base en la Política Uso Aceptable de los Activos.

El Responsable de Capacitación será el encargado de coordinar las acciones de capacitación que surjan de la presente Política.

Cada semestre se revisará el material correspondiente a la capacitación, a fin de evaluar la pertinencia de su actualización, de acuerdo al estado del material de ese momento.

El personal que ingrese a SiCredit recibirá el material, indicándosele el comportamiento esperado en lo que respecta a la seguridad de la información, antes de serle otorgados los privilegios de acceso a los sistemas que correspondan.

Por otra parte, se arbitrarán los medios técnicos necesarios para comunicar a todo el personal, eventuales modificaciones o novedades en materia de seguridad, que deban ser tratadas con un orden preferencial por medio del Boletín Interno y Capacitación.

SiCredit en su interés por proteger su información y los recursos de procesamiento de la misma demostrará el compromiso de la Alta Dirección en este esfuerzo, promoviendo que el personal cuente con el nivel deseado de conciencia en seguridad de la información para la correcta gestión de los activos de información y ejecutando el proceso disciplinario necesario cuando se incumplan las Políticas de seguridad de la información de la Organización.

Todos los empleados de SiCredit deben ser cuidadosos de no divulgar información confidencial en lugares públicos, en conversaciones o situaciones que pongan en riesgos la seguridad de la información y el buen nombre de la Organización.

  • La Alta Dirección debe demostrar su compromiso con la seguridad de la información por medio de su aprobación de las Políticas, normas y demás lineamientos que desee establecer la Organización.
  • La Alta Dirección debe promover la importancia de la seguridad de la información entre los empleados de SiCredit así como motivar el entendimiento, la toma de conciencia y el cumplimiento de las Políticas, normas, procedimientos y estándares para la seguridad de la información establecidos.
  • La Alta Dirección definió y estableció el proceso disciplinario a través del reglamento interior de trabajo de la organización donde se establece el proceso disciplinario existente en la organización, el tratamiento de las faltas de cumplimiento a las Políticas de seguridad o los incidentes de seguridad que lo ameriten.
  • El Área de Sistemas debe diseñar y ejecutar de manera permanente un programa de concientización en seguridad de la información, con el objetivo de apoyar la protección adecuada de la información y de los recursos de procesamiento la misma.
  • Se debe capacitar a los empleados de SiCredit en el programa de concientización en seguridad de la información para evitar posibles riesgos de seguridad de acuerdo a lo establecido en el procedimiento de capacitación de la organización.
  • Se debe aplicar el proceso disciplinario de la Organización cuando se identifiquen violaciones o incumplimientos a las Políticas de seguridad de la información de acuerdo a lo establecido en el reglamento interior de trabajo.
  • Se debe convocar a los empleados a las capacitaciones y eventos programados como parte del programa de concientización en seguridad de la información, proveer los recursos para la ejecución de las capacitaciones y controlar la asistencia a dichas charlas y eventos, aplicando las sanciones pertinentes por la falta de asistencia no justificada.
  • Los empleados que por sus funciones hagan uso de la información de SiCredit, deben dar cumplimiento a las Políticas, normas y procedimientos de seguridad de la información, así como asistir a las capacitaciones que sean referentes a la seguridad de la información.
  • Todos los empleados de SiCredit y, cuando sea pertinente, que desempeñen funciones en la Organización, recibirán una adecuada capacitación y actualización periódica en materia de la política, normas y procedimientos de SiCredit. Esto comprende los requerimientos de seguridad de la información y las responsabilidades legales, así como la capacitación referida al uso correcto de las instalaciones de procesamiento de información y el uso correcto de los recursos en general, como por ejemplo su Estación de Trabajo.
  • El personal que ingrese a SiCredit recibirá el material y equipo necesario, indicándosele el comportamiento esperado con base en la política de Gestión de Activos, antes de serle otorgados los privilegios de acceso a los sistemas que correspondan.
  • El Responsable de Capacitación será el encargado de coordinar las acciones de capacitación que surjan de la presente Política.
  • El Responsable de Capacitación revisará el material correspondiente a la capacitación, a fin de evaluar la pertinencia de su actualización, de acuerdo al estado del material de ese momento.

Por otra parte, se arbitrarán los medios técnicos necesarios para comunicar a todo el personal, eventuales modificaciones o novedades en materia de seguridad, que deban ser tratadas con un orden preferencial por medio del Boletín Interno y Capacitación.

7.2.3 Proceso Disciplinario

  • Todos los empleados de la Organización deben mantener en absoluta reserva la información, documentación y sistemas a la cual tendrán acceso, guardando secreto profesional y preservando en todo momento la Seguridad de la Información.
  • Todos los empleados de la Organización deberán reconocer que la herramienta es propiedad de SiCredit y se obligan a no hacer mal uso de la información a la que tendrán acceso, papel, medio magnético o electrónico, entendiéndose por uso indebido de la información cualquier acto u omisión que cause daño en su patrimonio al sujeto del que se posea información. Cualquier acción que se traduzca en daño el patrimonio al sujeto del que se posea información, cualquier acción que se traduzca en daño al patrimonio o reputación de Servicios Integrados de Crédito, S. A. de C. V. y cualquiera de las partes interesadas de la organización, así como cualquier acción que derive en un beneficio patrimonial.
  • Todos los empleados de la Organización deberán cumplir con las normas éticas y Políticas sobre conflictos de interés en su relación Servicios Integrados de Crédito S. A. de C. V. y las partes interesadas.
  • Ningún empleado de la Organización deberá recibir ofrecimientos de incentivos o regalos de persona alguna que quiera beneficiarse de la información exclusiva de Servicios Integrados de Crédito S. A. de C. V. y de las partes interesadas.
  • Ningún empleado de la Organización deberá reproducir por medios propios o de terceros ya sea parcial o totalmente la información contenida en dichos Reportes para su uso manejo y comercialización fuera y dentro de las instalaciones de Servicios Integrados de Crédito S. A. de C. V.
  • Ningún empleado de la Organización deberá hacer uso comercial de la información a la que tendrá acceso ya sea por medios físicos, medios magnéticos o electrónicos.

7.3.1 Terminación o Cambio de Empleo

Todos los empleados de la organización deberán de apegarse al procedimiento de desvinculación laboral para los casos relacionados con el cese del puesto de trabajo, todos los empleados, deben devolver todos los activos (componentes software, documentos y equipos prestados) de la organización que tengan en su posesión y estén relacionados con su empleo con base en la Carta de Designación de Responsabilidades. Así mismo, se deberán revocar todos los privilegios al usuario cesado en todos los entornos de producción o accesibles desde el exterior de la organización.

El objetivo es asegurar que los empleados, salgan de la organización o cambien de empleo de una forma ordenada.

SiCredit asegurará que sus empleados serán desvinculados o reasignados para la ejecución de nuevas labores de una forma ordenada, controlada y segura, requisitando al 100% el formato de Altas, Bajas y Cambios (ABC).

Normas para la desvinculación, vacaciones o cambios de labores de los empleados:

  • Recursos Humanos debe realizar el proceso de desvinculación, vacaciones o cambio de labores de los empleados de la Organización llevando a cabo los procedimientos y ejecutando los controles establecidos para tal fin.
  • Recursos Humanos debe monitorear y reportar de manera inmediata la desvinculación o cambio de labores de los empleados al área de Sistemas.
  • Recursos Humanos debe verificar los reportes de desvinculación o cambio de labores y posteriormente debe solicitar la modificación o inhabilitación de usuarios del Área de Sistemas.

Hacer un seguimiento del uso del Correo Electrónico del empleado antes de salir definitivamente de la empresa, por si llegaran a sacar información confidencial (sujeto a las Políticas aplicables y a consideraciones legales sobre privacidad).

En los casos relacionados con el cambio de puesto de trabajo dentro de la organización el Administrador del Sistema deberá revocar todos los privilegios excesivos que el usuario tuviera en el puesto actual respecto al nuevo puesto a desempeñar de acuerdo la matriz de facultades.

Cambios en la responsabilidad y empleos dentro de la organización deben ser manejados como la terminación de la respectiva responsabilidad o empleo, en línea con esta sección.

A.8 Gestión De Activos

8.1 Responsabilidad sobre Activos

SiCredit como propietario de la información física así como de la información generada, procesada, almacenada y transmitida con su plataforma tecnológica, otorgará responsabilidad a las áreas sobre sus activos de información con base en la Carta de Designación de Responsabilidades, asegurando el cumplimiento de las directrices que regulen el uso adecuado de la misma.

La información, archivos físicos, los sistemas, los servicios y los equipos (ej. estaciones de trabajo, equipos portátiles, impresoras, redes, Internet, correo electrónico, herramientas de acceso remoto, aplicaciones, teléfonos, entre otros) propiedad de SiCredit, son activos de la Organización y se proporcionan a los empleados, para cumplir con los propósitos del negocio, mediante Carta de Designación de Responsabilidades.

Toda la información sensible de SiCredit, así como los activos donde ésta se almacena y se procesa deben ser asignados a un responsable, inventariados y posteriormente clasificados, de acuerdo con los requerimientos y los criterios establecidos en la Matriz de Facultades. El área de compras debe llevar a cabo el levantamiento y la actualización permanente del inventario de activos de la Organización.

8.1.1 Inventario de Activos

  • El Director General de SiCredit, actúa como propietario de la información física y electrónica de la Organización, ejerciendo así la facultad de aprobar o revocar el acceso a su información con los perfiles adecuados para tal fin.
  • El área de compras debe generar un inventario de activos de información para las áreas o procesos de la Organización, acogiendo las indicaciones de las guías de clasificación de la información; así mismo, deben mantener actualizado el inventario de sus activos de información.

8.1.2 Dueños de Activos

  • Los propietarios de los activos de información deben monitorear periódicamente la validez de los usuarios y sus perfiles de acceso a la información.
  • Los propietarios de los activos de información deben ser conscientes que los recursos de procesamiento de información de la Organización, se encuentran sujetos a auditorias.
  • El Área de Sistemas es la propietaria de los activos de información correspondientes a la plataforma tecnológica de SiCredit y, en consecuencia, debe asegurar su apropiada operación y administración.
  • El Área de Sistemas en conjunto con la Alta Dirección, son quienes deben autorizar la instalación, cambio o eliminación de componentes de la plataforma tecnológica de SiCredit.
  • El Área de Sistemas debe establecer una configuración adecuada para los recursos tecnológicos, con el fin de preservar la seguridad de la información y hacer un uso adecuado de ellos.
  • El Área de Sistemas es responsable de preparar las estaciones de trabajo fijas y/o portátiles de los empleados y de hacer entrega de las mismas.
  • El Área de Sistemas es responsable de recibir los equipos de trabajo fijo y/o portátil para su reasignación o disposición final, y generar copias de seguridad de la información de los empleados que se retiran o cambian de labores, cuando les es formalmente solicitado.
  • El Área de Sistemas debe realizar una prueba de Vulnerabilidad cuando menos dos veces al año, sobre los procesos de SiCredit.
  • El Área de Sistemas debe definir las condiciones de uso y protección de los activos de información, tanto los tecnológicos como aquellos que no lo son.
  • El Área de Sistemas debe realizar revisiones periódicas de los recursos de la plataforma tecnológica y los sistemas de información de la Organización.
  • La Alta Dirección y Los Coordinadores de Área deben autorizar a sus empleados el uso de los recursos tecnológicos, previamente preparados por el Área de Sistemas.
  • Los Coordinadores de Área en conjunto con el área de Sistemas, deben recibir los recursos tecnológicos asignados a sus colaboradores cuando estos se retiran de la Organización o son trasladados de área con base en la Carta de Designación de Responsabilidades.
  • En el momento de desvinculación o cambio de labores, los empleados deben realizar la entrega de su puesto de trabajo al Coordinador de Área en conjunto con el Personal del área de Sistemas; así mismo, se deberá realizar la entrega de los recursos tecnológicos y otros activos de información suministrados en el momento de su vinculación con base en la Carta de Designación de Responsabilidades.

8.1.3 Uso Aceptable de Activos

  • Los empleados no deben consumir alimentos y bebidas en los lugares de trabajo, para evitar derrames de líquidos sobre los activos de información.
  • Los empleados no deben utilizar sus equipos de cómputo y dispositivos móviles personales para desempeñar las actividades laborales.
  • Los empleados no deben utilizar software no autorizado o de su propiedad en la plataforma tecnológica del SiCredit.
  • Los empleados deben asegurarse del bloqueo de los activos de información cuando no los estén utilizando.
  • Los empleados no deben conectar ningún dispositivo ajeno a la organización en ningún activo de información bajo su responsabilidad.
  • Los empleados de desconectar o reubicar ningún activo de información de la Organización.
  • Los empleados no deben de utilizar los activos de información para actividades distintas de acuerdo con las características de fábrica.
  • Los empleados no deben compartir aquellos activos de información que les fueron asignados de forma individual con base en la Carta de Designación de Responsabilidades.
  • La información proporcionada por los empleados en los activos de información debe de ser correcta, verídica, oportuna, clara.
  • Los recursos tecnológicos de SiCredit, deben ser utilizados de forma ética y en cumplimiento de las leyes y reglamentos vigentes y las condiciones de uso y protección de los activos de información definida por el área de sistemas, con el fin de evitar daños o pérdidas sobre la operación o la imagen de la Organización.
  • Los recursos tecnológicos de SiCredit provistos a los empleados, son proporcionados con el único fin de llevar a cabo las labores de la Organización; por consiguiente, no deben ser utilizados para fines personales o ajenos a este.
  • Todas las estaciones de trabajo, dispositivos móviles y demás recursos tecnológicos son asignados a un responsable con base en la Carta de Designación de Responsabilidades, por lo cual es su compromiso hacer uso adecuado y eficiente de dichos recursos y las condiciones de uso y protección de los activos de información.

8.1.4 Retorno de los Activos

  • Tras la desvinculación de un empleado de SiCredit, se cancelan los derechos de acceso a los activos asociados con los sistemas de información y a los servicios de la organización.
  • Los cambios en un empleo deben reflejarse en la retirada de todos los derechos de acceso que no sean aprobados para el nuevo empleo.
  • Los derechos de acceso deben ser retirados o adaptados, incluyendo acceso físico y lógico, llaves, instalaciones del proceso de información y retirada de cualquier documentación que los identifica como un miembro actual de la organización.

Los derechos de acceso para activos de información y equipos se deben reducir o retirar antes que el empleo termine o cambie, dependiendo de la evaluación de los factores de riesgo como:

a) Si la finalización o cambio es iniciado por el empleado, contratista o usuario de tercero, o por la gerencia y la razón de la finalización.

b) Las responsabilidades actuales del empleado u otro usuario.

c) El valor de los activos a los que se accede actualmente.

8.2 Clasificación de Activos

SiCredit definirá los niveles más adecuados para clasificar su información de acuerdo con su sensibilidad, y generará una guía de Clasificación de la Información para que los propietarios de la misma la cataloguen y determinen los controles requeridos para su protección.

8.2.1 Guías de Clasificación

Toda la información de SiCredit debe ser identificada, clasificada y documentada de acuerdo con las guías de Clasificación de la Información establecidas por el Comité Integral.

Una vez clasificada la información, SiCredit proporcionará los recursos necesarios para la aplicación de controles en busca de preservar la confidencialidad, integridad y disponibilidad de la misma, con el fin de promover el uso adecuado por parte de los empleados de la Organización que se encuentren autorizados y requieran de ella para la ejecución de sus actividades.

Normas para la clasificación y manejo de la información

  • El Comité Integral debe recomendar los niveles de clasificación de la información propuestos por el área de Sistemas y la tabla de clasificación de la Información de SiCredit para que sean aprobados por la Alta Dirección.
  • El área de Sistemas definió los niveles de clasificación de la información para SiCredit y se encuentran descritos en la tabla de clasificación de la Información.
  • El área de Sistemas debe dar a conocer la tabla de clasificación de la Información a los empleados de la Organización.
  • El área de Sistemas debe monitorear con una periodicidad establecida la aplicación de la tabla de clasificación de la Información.
  • El Área de Sistemas debe proveer los métodos de cifrado de la información, así como debe administrar el software o herramienta utilizado para tal fin.
  • El Área de Sistemas debe efectuar la eliminación segura de la información con base en la política de Desecho de Medios, a través de los mecanismos necesarios en la plataforma tecnológica, ya sea cuando son dados de baja o cambian de usuario.
  • El Área de Sistemas deben definir los métodos de cifrado de la información de la organización de acuerdo al nivel de clasificación de los activos.
  • Los propietarios de los activos de información deben clasificar su información de acuerdo con la tabla de clasificación de la Información establecida.
  • Los propietarios de los activos de información son responsables de monitorear periódicamente la clasificación de sus activos de información y de ser necesario realizar su re-clasificación.
  • Los usuarios deben acatar la tabla de clasificación de la Información para el acceso, divulgación, almacenamiento, copia, transmisión, etiquetado y eliminación de la información contenida en los recursos tecnológicos, así como de la información física de la Organización.
  • La información física y digital de SiCredit debe tener un periodo de almacenamiento que puede ser dictaminado por requerimientos legales o misionales; este período debe ser indicado en la Tabla de Control de Documentos y Registros y cuando se cumpla el periodo de expiración, toda la información debe ser eliminada adecuadamente con base en la política de Desecho de Medios.
  • Los usuarios deben tener en cuenta estas consideraciones cuando impriman, escaneen, y saquen copias: verificar las áreas adyacentes a impresoras, escáneres y fotocopiadoras para asegurarse que no quedaron documentos relacionados o adicionales; así mismo, recoger de las impresoras, escáneres y fotocopiadoras inmediatamente los documentos confidenciales para evitar su divulgación no autorizada.
  • Los empleados deben asegurarse que en el momento de ausentarse de su puesto de trabajo, sus escritorios se encuentren libres de documentos y medios de almacenamiento, utilizados para el desempeño de sus labores; estos deben contar con las protecciones de seguridad necesarias de acuerdo con su nivel de clasificación.
  • La información que se encuentra en documentos físicos debe ser protegida, a través de controles de acceso físico y las condiciones adecuadas de almacenamiento y resguardo.

TABLA DE CLASIFICACION DE LA INFORMACION

Tabla de clasificación de la información

8.2.2 Etiquetamiento y Manejo de la Información

Se tiene definido en el procedimiento de control de documentos y registros el rotulado y manejo de información, de acuerdo a la Tabla de Clasificación de la Información. Los mismos contemplarán los recursos de información tanto en formatos físicos como electrónicos e incorporarán las siguientes actividades de procesamiento de la información:

  • Toda la información de la Organización tendrá que ser clasificada y etiquetada con base en la Tabla de Clasificación de la Información.

Se deben considerar los siguientes ítems:

  • Manipuleo y etiquetado de todos los medios en su nivel de clasificación indicado.
  • Restricciones de acceso para evitar el acceso de personal no-autorizado.
  • Mantenimiento de un registro formal de destinatarios autorizados de la información.
  • Asegurar que el input de la información esté completo, que el proceso se complete apropiadamente y que se aplique la validación del output.
  • Protección de la información recolectada esperando el output en un nivel consistente con la confidencialidad.
  • Almacenaje de medios en concordancia con las especificaciones de los fabricantes.
  • Mantener la distribución de la información en lo mínimo.
  • Marcar claramente todas las copias de los medios con atención al destinatario autorizado.
  • Revisión de las listas de distribución y las listas de los destinatarios autorizados a intervalos regulares.
  • Estos procedimientos se aplican a la información en documentos; sistemas de cómputo; redes; computación móvil; comunicaciones móviles; comunicaciones vía correo, correo de voz y voz en general; multimedia; servicios/medios postales, uso de máquinas de fax y cualquier otro ítem confidencial; por ejemplo cheques en blanco, facturas.

8.2.3 Manejo de Activos de Información

  • Sólo el Propietario de la Información puede asignar o cambiar la clasificación de la información asignada.
  • Cada que la Información sea re clasificada se deberá definir una fecha de efectividad.
  • Cada que la Información sea re clasificada se deberá comunicar a los empleados de la organización que por sus funciones, con base en la Matriz de Facultades, cuenten con acceso a dicha información.
  • Se deben establecer los procedimientos para el manejo y almacenaje de información para proteger esta información de una divulgación no-autorizada o mal uso.
  • Se deben establecer los procedimientos para el manipuleo, procesamiento, almacenaje y comunicación de la información consistente con su clasificación.
  • Luego de clasificada la información, el propietario de la misma identificará los recursos asociados (sistemas, equipamiento, servicios, etc.) y los perfiles de puesto que deberán tener acceso a la misma.

8.3 Manejo de Medios

  • Se debe evitar la divulgación no-autorizada; modificación, eliminación o destrucción de activos; y la interrupción de las actividades comerciales.
  • Los medios se deben controlar y proteger físicamente.
  • Se deben establecer los procedimientos de operación apropiados para proteger los documentos, medios de cómputo, input/output de información y documentación del sistema de una divulgación no-autorizada, modificación, eliminación y destrucción.

8.3.1 Manejo de Medios Removibles

  • Establecer el uso adecuado de los medios removibles durante la vida útil del Equipo en la Organización.
  • Asegurar el uso, reutilización y eliminación de medios removibles, con el fin de garantizar que la información se salvaguarde adecuadamente.
  • El uso de medios de dispositivos removibles (ejemplo: CDs, DVDs, USBs, discos duros externos, celulares) en SiCredit, solo serán autorizados por Alta Dirección cuyo perfil del cargo y funciones lo requiera, y serán controlado por el responsable del Área de sistemas.
  • Los empleados se deberán comprometer a asegurar física y lógicamente el dispositivo a fin de no poner en riesgo la información de la Organización.
  • El contenido de medios reutilizables que contengan información crítica o sensible de la Organización que se van a retirar de las instalaciones se les deberá realizar un borrado seguro con el fin de evitar recuperación de información. Para el retiro de dichos medios se debe contar con la autorización del Área de Sistemas.
  • Los medios que contengan información sensible o confidencial se eliminarán mediante técnicas de incineración, trituración o borrado seguro de datos, dejando registro de las acciones realizadas durante el proceso de eliminación, para facilitar la trazabilidad de eventos con base en la Política Desechos de medios
  • El Área de Sistemas deberá realizar el borrado seguro de los medios de removibles al momento de reutilizarlos o desecharlos en la Organización.
  • Deben existir procedimientos para la gestión de los medios removibles.
  • Si ya no son requeridos, los contenidos de los medios re-usables que no son removidos de la organización no deben ser recuperables.
  • Se deben establecer los procedimientos para identificar los ítems que podrían requerir de una eliminación segura.
  • Podría ser más fácil arreglar que todos los componentes de medios se recolecten y eliminen de forma segura, en lugar de tratar de separar los ítems sensibles o confidenciales.
  • Muchas organizaciones ofrecen servicios de recolección y eliminación de papeles, equipo y medios; se debe tener cuidado al seleccionar el contratista adecuado con los controles y la experiencia adecuados.
  • Cuando sea posible se debe registrar la eliminación de ítems confidenciales para mantener un rastro de auditoría.
  • Cuando se acumulan medios para ser eliminados, se debe tener en consideración el efecto de agregación, el cual puede causar que una gran cantidad de información no-confidencial se convierta en confidencial.
  • Se puede divulgar información sensible a través de la eliminación cuidadosa de los medios.

8.3.2 Desecho de Medios

SiCredit se encargará de conservar y resguardar los activos de información por periodos que cumplan las necesidades de los clientes internos y externos de la Organización, asegurando la disponibilidad de los diferentes activos de información cuando así sea necesario.

Normas para el Desecho de Medios

  • Toda información física y digital de SiCredit deberá ser eliminada adecuadamente cuando se cumpla el periodo de expiración el cual está definido en cada proceso en la Tabla de Control de Documentos y Registros.
  • Se deberá dejar evidencia en el Registro Electrónico para destrucción de Medios cada vez que sea necesario eliminar información física y digital de la Organización que haya cumplido el periodo de expiración.

8.3.1 Medios Físicos en Transito

  • Los medios que contienen información deben ser protegidos contra accesos no-autorizados, mal uso o corrupción durante el transporte más allá de los límites físicos de la Organización.

Se deben considerar los siguientes lineamientos para proteger los medios de información transportados entre diferentes ubicaciones:

  • Se deben utilizar transportes o mensajerías confiables.
  • Se debe acordar con el Área de Compras una lista de mensajerías autorizadas.
  • Se deben desarrollar procedimientos para checar la identificación de los mensajeros.
  • El empaque debe ser suficiente para proteger los contenidos de cualquier daño que pudiera surgir durante el tránsito y en concordancia con las especificaciones de cualquier fabricante, por ejemplo protegiendo de cualquier factor ambiental que pudiera reducir la efectividad de la restauración de medios, tales como la exposición al calor, humedad o campos electromagnéticos.
  • Donde sea necesario, se deben adoptar controles para proteger la información confidencial de la divulgación o modificación no-autorizada, los ejemplos incluyen:

1) Uso de contenedores cerrados con llave.

2) Entrega en la mano.

3) Empaque que haga evidente si ha sido manipulado (el cual revela cualquier intento por obtener acceso).

4) En casos excepcionales, dividir el envío en más de una entrega y despacharlo por rutas diferentes.

A.9 Control De Acceso

En SiCredit utilizamos controles y registros para la gestión de acceso a los usuarios con el fin de asegurar la disponibilidad e integridad de los activos de información de la Organización.

9.1 Requisitos del negocio para el control de acceso

Política de Control de Accesos. En la aplicación de controles de acceso, se deben contemplar los siguientes aspectos:

  • Identificar los requerimientos de seguridad de cada una de las aplicaciones.
  • Identificar toda la información relacionada con las aplicaciones.
  • Establecer criterios coherentes entre esta Política de Control de Acceso y la Política de Clasificación de Información de los diferentes sistemas y redes.
  • Identificar la legislación aplicable y las obligaciones contractuales con respecto a la protección del acceso a datos y servicios.
  • Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de puestos de trabajo.
  • Administrar los derechos de acceso en un ambiente distribuido y de red, que reconozcan todos los tipos de conexiones disponibles.

Reglas de Control de Acceso. Las reglas de control de acceso especificadas deben:

  • Indicar expresamente si las reglas son obligatorias u optativas.
  • Establecer reglas sobre la premisa “Todo debe estar prohibido a menos que se permita expresamente” y no sobre la premisa inversa de “Todo está permitido a menos que se prohíba expresamente”.
  • Controlar los cambios en los rótulos de información que son iniciados automáticamente por herramientas de procesamiento de información, de aquellos que son iniciados a discreción del usuario.
  • Controlar los cambios en los permisos de usuario que son iniciados automáticamente por el sistema de información y aquellos que son iniciados por el administrador.
  • Controlar las reglas que requieren la aprobación del administrador o del Propietario de la Información de que se trate, antes de entrar en vigencia, y aquellas que no requieren aprobación.
  • Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.
  • Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización.
  • Controlar las entradas y salidas de los equipos de almacenamiento.

9.1.1 Política de control de accesos

  • El Personal de SiCredit deberá registrar al momento de su entrada, el equipo de cómputo, equipo de comunicaciones, medios de almacenamiento y herramientas que no sean propiedad de la Organización, en el área de Vigilancia el cual deberán retirar el mismo día. En caso contrario deberá tramitar la autorización de salida de equipo correspondiente.
  • Las computadoras personales, las computadoras portátiles, y cualquier activo de tecnología de información, podrá ser retirado de las instalaciones de la Organización únicamente con la autorización de salida del área de Sistemas, anexando el Formato de Entrada y Salida de Equipo de Cómputo/Electrónico con las firmas correspondientes.
  • Los usuarios deben firmar las Carta de Designación de responsabilidades, Carta responsiva de claves y facultades de acceso a los sistemas, Carta Responsiva de Claves y Facultades de Acceso a Outlook Web Access OWA y MAIL, Carta responsiva de Software.

9.1.2 Acceso a Redes y servicios de Redes

Política de Utilización de los Servicios de Red

Se deberá controlar el acceso a los servicios de red tanto internos como externos. Para ello, se deberán desarrollar procedimientos para la activación y desactivación de derechos de acceso a las redes, los cuales comprenderían:

  • Identificar las redes y servicios de red a los cuales se permite el acceso.
  • Realizar normas y procedimientos de autorización para determinar las personas y las redes y servicios de red a los cuales se les otorgará el acceso.
  • Establecer controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red.
  • Se debe limitar las opciones de elección de la ruta entre la terminal de usuario y los servicios a los cuales el mismo se encuentra autorizado a acceder, mediante la implementación de controles en diferentes puntos de la misma.
  • Se deberá asignar números telefónicos o líneas, en forma dedicada.
  • Se deberá establecer la conexión automática de puertos a puertas de enlace o a sistemas de aplicación específicos.
  • Se deberá limitar las opciones de menú y submenú de cada uno de los usuarios.
  • Se deberá evitar la navegación ilimitada por la red.
  • Se deberá imponer el uso de sistemas de aplicación y/o puertas de enlace específicos para usuarios externos de la red.
  • Se deberá controlar activamente las comunicaciones con origen y destino autorizados a través de una puerta de enlace, por ejemplo utilizando firewalls.
  • Se deberá restringir el acceso a redes, estableciendo dominios lógicos separados, por ejemplo, redes privadas virtuales para grupos de usuarios dentro o fuera de la Organización.
  • Se deberá realizar una evaluación de riesgos a fin de determinar el mecanismo de autenticación que corresponda en cada caso.
  • Las conexiones a sistemas informáticos remotos deberían ser autenticadas. Esto es particularmente importante si la conexión utiliza una red que está fuera de control de la gestión de seguridad de la Organización.
  • Se deben definir y documentar los perímetros de seguridad que sean convenientes, que se implementarán mediante la instalación de “Puertas de enlace” con funcionalidades de “firewall” o redes privadas virtuales para filtrar el tráfico entre los dominios y para bloquear el acceso no autorizado, de acuerdo a la Política de Control de Accesos.
  • Se debe evaluar la conveniencia de generar un registro de los accesos de los usuarios a Internet, con el objeto de realizar revisiones de los accesos efectuados o analizar casos particulares. Dicho control debería ser comunicado a los usuarios con base en Check List de Revisión de Hardware y Software.
  • Controlar la seguridad en la conexión entre la red de SiCredit y otras redes públicas o privadas.
  • Garantizar la seguridad de la información cuando se utilizan equipos portátiles y conexiones remotas.

Política De Uso Adecuado De Internet

SiCredit consciente de la importancia de Internet como una herramienta para el desempeño de labores, proporcionará los recursos necesarios para asegurar su disponibilidad a los usuarios que así lo requieran para el desarrollo de sus actividades diarias en la Organización.

Normas de uso adecuado de internet

  • El Área de Sistemas debe proporcionar los recursos necesarios para la implementación, administración y mantenimiento requeridos para la prestación segura del servicio de Internet, bajo las restricciones de los perfiles de acceso establecidos en la Matriz de Facultades.
  • El Área de Sistemas debe diseñar e implementar mecanismos que permitan la continuidad o restablecimiento del servicio de Internet en caso de contingencia interna.
  • El Área de Sistemas debe monitorear continuamente el canal o canales del servicio de Internet.
  • El Área de Sistemas debe establecer procedimientos e implementar controles para evitar la descarga de software no autorizado, evitar código malicioso proveniente de Internet y evitar el acceso a sitios catalogados como restringidos.
  • El Área de Sistemas debe generar registros de la navegación y los accesos de los usuarios a Internet, así como establecer e implantar procedimientos de monitoreo sobre la utilización del servicio de Internet.
  • El Área de Sistemas debe generar campañas para concientizar tanto a los empleados internos, como al personal provisto por terceras partes, respecto a las precauciones que deben tener en cuenta cuando utilicen el servicio de Internet.
  • Los usuarios del servicio de Internet de SiCredit deben hacer uso del mismo en relación con las actividades laborales que así lo requieran.
  • Los usuarios del servicio de Internet deben evitar la descarga de software desde internet, así como su instalación en las estaciones de trabajo o dispositivos móviles asignados para el desempeño de sus labores.
  • No está permitido el acceso a páginas relacionadas con pornografía, drogas, alcohol, webproxys, hacking y/o cualquier otra página que vaya en contra de la ética moral, las leyes vigentes o Políticas establecidas en este documento.
  • Los usuarios del servicio de internet tienen prohibido el acceso y el uso de servicios interactivos o mensajería instantánea como Facebook y otros similares, que tengan como objetivo crear comunidades para intercambiar información, o bien para fines diferentes a las actividades propias del negocio de SiCredit.
  • No está permitido la descarga, uso, intercambio y/o instalación de juegos, música, películas, protectores y fondos de pantalla, software de libre distribución, información y/o productos que de alguna forma atenten contra la propiedad intelectual de sus autores, o que contengan archivos ejecutables y/o herramientas que atenten contra la integridad, disponibilidad y/o confidencialidad de la infraestructura tecnológica (hacking), entre otros. La descarga, uso, intercambio y/o instalación de información audiovisual (videos e imágenes) utilizando sitios públicos en Internet debe ser autorizada por el Coordinador de Área correspondiente y El Área de Sistemas, o a quienes ellos deleguen de forma explícita para esta función, asociando los procedimientos y controles necesarios para el monitoreo y aseguramiento del buen uso del recurso.
  • No está permitido el intercambio no autorizado de información de propiedad de SiCredit, de sus clientes y/o de sus empleados, con terceros.

9.2 Gestión de acceso a usuarios

  • Se debe definir un procedimiento formal de registro de usuarios para otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios de información multiusuario.
  • Se deben utilizar identificadores de usuario únicos, de manera que se pueda identificar a los usuarios por sus acciones evitando la existencia de múltiples perfiles de acceso para un mismo empleado. El uso de identificadores grupales sólo debe ser permitido cuando sean convenientes para el trabajo a desarrollar debido a razones operativas.
  • Se debe verificar que el usuario tiene autorización del Propietario de la Información para el uso del sistema, base de datos o servicio de información.
  • Se debe verificar que el nivel de acceso otorgado es adecuado para el propósito de la función del usuario y es coherente con la Política de Seguridad de la organización por ejemplo que no comprometiese la separación de tareas.
  • Se debe entregar a los usuarios un detalle escrito de sus derechos de acceso.
  • Se debe requerir que los usuarios firmen declaraciones señalando que comprenden y aceptan las condiciones para el acceso.
  • Se debe garantizar que los proveedores de servicios no otorguen acceso hasta que se hayan completado los procedimientos de autorización.
  • Se debe mantener un registro formal de todas las personas registradas para utilizar el servicio.
  • Se debe cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas, o de aquellos a los que se les revocó la autorización, se desvincularon de la Organización sufrieron la pérdida/robo de sus credenciales de acceso.
  • Se deben efectuar revisiones periódicas con el objeto de:

- Cancelar identificadores y cuentas de usuario redundantes.

- Inhabilitar cuentas inactivas por más de un período determinado.

- Eliminar cuentas inactivas por más de un período determinado.

- En el caso de existir excepciones, deberían ser debidamente justificadas y aprobadas.

  • Garantizar que los identificadores de usuario redundantes no se asignen a otros usuarios.
  • Incluir cláusulas en los contratos de personal y de servicios que especifiquen sanciones.
  • Se debe limitar y controlar la asignación y uso de privilegios, debido a que el uso inadecuado de los privilegios del sistema resulta frecuentemente, el factor más importante que contribuye a la falla de los sistemas a los que se ha accedido ilegalmente.
  • Se deben identificar los privilegios asociados a cada producto del sistema, por ejemplo sistema operativo, sistema de administración de bases de datos y aplicaciones, y las categorías de personal a las cuales deben asignarse los productos.
  • Se deben asignar los privilegios a individuos sobre la base de la necesidad de uso y evento por evento, por ejemplo el requerimiento mínimo para su rol funcional.
  • Se debe mantener un proceso de autorización y un registro de todos los privilegios asignados.
  • Los privilegios no deben ser otorgados hasta que se haya completado el proceso formal de autorización.
  • Se debe establecer un período de vigencia para el mantenimiento de los privilegios (con base en la utilización que se le dará a los mismos) luego del cual los mismos serán revocados.
  • Se debe promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios.
  • Los Propietarios de Información deben ser los encargados de aprobar la asignación de privilegios a usuarios y solicitar su implementación, lo cual debería ser supervisado por el Área de Sistemas.
  • La asignación de contraseñas se debe controlar a través de un proceso de administración formal.
  • Se debe requerir que los usuarios firmen la carta responsiva de claves y facultades por la cual se comprometen a mantener sus contraseñas personales en secreto.
  • Se debe garantizar que los usuarios cambien las contraseñas iniciales que les han sido asignadas la primera vez que ingresan al sistema. Las contraseñas provisorias, que se asignan cuando los usuarios olvidan su contraseña, sólo debe suministrarse una vez identificado el usuario.
  • Se deben generar contraseñas provisorias seguras para otorgar a los usuarios. Se debe evitar la participación de terceros o el uso de mensajes de correo electrónico sin protección (texto claro) en el mecanismo de entrega de la contraseña y los usuarios deben dar acuse de recibo cuando la reciban.
  • Se deben almacenar las contraseñas sólo en sistemas informáticos protegidos.
  • Se deben utilizar otras tecnologías de autenticación y autorización de usuarios, como ser la biométrica (por ejemplo verificación de huellas dactilares), verificación de firma, uso de autenticadores de hardware (como las tarjetas de circuito integrado), etc. El uso de esas herramientas debería disponerse cuando la evaluación de riesgos realizada por el Comité Integral y el Propietario de la Información lo determine necesario (o lo justifique).
  • Se deben configurar los sistemas de tal manera que las contraseñas tengan un tamaño no menor a 8 caracteres, suspendan o bloqueen permanentemente al usuario luego de un número determinado de intentos de entrar con una contraseña incorrecta, solicitar el cambio de la contraseña en forma periódica, impedir que las últimas contraseñas sean reutilizadas, establecer un tiempo de vida mínimo de días para la vigencia de las contraseñas.
  • Se deben revisar los derechos de acceso de los usuarios a intervalos de 6 meses.
  • Se deben revisar las autorizaciones de privilegios especiales de derechos de acceso a intervalos de 3 meses.
  • Se deben revisar las asignaciones de privilegios a intervalos de 6 meses, a fin de garantizar que no se obtengan privilegios no autorizados.

9.2.1 Registro de usuario y des-registro

  • Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.
  • Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos con base a la Carta de Designación de Responsabilidades.

9.2.2 Aprovisionamiento de acceso a usuarios

  • Se deberá llenar el formato para los nuevos accesos a todos los sistemas de información de la Organización con base en la política de control de accesos y el Procedimiento ABC para cuentas de Usuario de SiCredit.

9.2.3 Administración de privilegios de acceso

  • El Área de Sistemas deberá controlar los Accesos a los sistemas de procesamiento (SITE).
  • El Área de Sistemas deberá gestionar los Accesos a los sistemas de información de todos los usuarios de la Organización con base en la Matriz de Facultades y la Carta de Designación de Responsabilidades.

9.2.4 Gestión de información de autenticación de usuarios secreta

  • Todos los usuarios de la Organización deberán realizar el cambio de las contraseñas de los diferentes sistemas de información a los que tengan acceso, con base en la Matriz de Facultades y la Carta de Designación de Responsabilidades, cada 30 dias o cuando se hayan realizado cambios en su perfil de puesto.
  • Las Contraseñas de los diferentes sistemas de información de la Organización deberán cumplir con la Política de Gestión de Contraseñas de este documento.

9.2.5 Revisión de derechos de acceso

  • El área de Sistemas deberá revisar y actualizar la lista de usuario del dominio de SiCredit de manera mensual, solicitando las cartas de Altas, Bajas o Cambios correspondientes.

9.2.6 Remoción o ajuste de derechos de acceso

  • Se deberá llenar el formato para la baja de accesos a todos los sistemas de información de la Organización de los usuarios desvinculados con base en la política de control de accesos, política de terminación o cambio de empleo y el Procedimiento ABC para cuentas de Usuario de SiCredit.
  • Se deberá llenar el formato para los cambios de accesos a todos los sistemas de información de la Organización con base en la política de control de accesos, política de terminación o cambio de empleo y el Procedimiento ABC para cuentas de Usuario de SiCredit.

9.3 Responsabilidades de usuarios

  • Se deben implementar las siguientes directivas, con el fin de poner en conocimiento de los usuarios para su cumplimiento, en función que las mismas constituyen un medio de validación y autenticación de la identidad de un usuario y consecuentemente un medio para establecer derechos de acceso a las instalaciones o servicios de procesamiento de información.
  • Se deben mantener las contraseñas en secreto.
  • Se debe pedir el cambio de la contraseña siempre que exista un posible indicio de compromiso del sistema o de las contraseñas.
  • Se deben seleccionar contraseñas de calidad.
  • Se deben seleccionar contraseñas fáciles de recordar.
  • No se deben seleccionar contraseñas que estén basadas en algún dato que otra persona pueda adivinar u obtener fácilmente mediante información relacionada con la persona, por ejemplo nombres números de teléfono, fecha de nacimiento, etc.
  • No se deben seleccionar contraseñas que tengan caracteres idénticos consecutivos o grupos totalmente numéricos o totalmente alfabéticos.
  • Se deben cambiar las contraseñas cada vez que el sistema se lo solicite y evitar reutilizar o reciclar viejas contraseñas.
  • Se deben cambiar las contraseñas provisorias en el primer inicio de sesión (“log on”).
  • Se debe evitar incluir contraseñas en los procesos automatizados de inicio de sesión, por ejemplo, aquellas almacenadas en una tecla de función o macro.
  • Se debe comunicar cualquier Incidente relativo a la seguridad relacionado con sus contraseñas: pérdida, robo o indicio de pérdida de confidencialidad.
  • Si los usuarios necesitaran acceder a múltiples servicios o plataformas y se requiere que mantengan múltiples contraseñas, se debe notificar a los mismos que pueden utilizar una única contraseña para todos los servicios que brinden un nivel adecuado de protección de las contraseñas almacenadas y en tránsito.
  • Se deben desarrollar tareas de concientización de todos los usuarios y proveedores, acerca de los requerimientos y procedimientos de seguridad, para la protección de equipos desatendidos, así como de sus funciones en relación a la implementación de dicha protección.
  • Se deben concluir las sesiones activas al finalizar las tareas, a menos que puedan protegerse mediante un mecanismo de bloqueo adecuado, por ejemplo, un protector de pantalla protegido por contraseña.
  • Se deben proteger las PCs o terminales contra usos no autorizados mediante un bloqueo de seguridad o control equivalente, por ejemplo, contraseña de acceso cuando no se utilizan.
  • Las contraseñas de los usuarios son individuales, confidenciales e intransferibles.
  • Los usuarios son responsables de toda la actividad asociada de sus cuentas de acceso a los sistemas de SiCredit
  • Los usuarios nunca deben divulgar las claves.
  • Los usuarios nunca deben comunicar a nadie (Incluyendo a cualquier nivel o puesto) las claves de las que son responsables.
  • Los usuarios deberán realizar el cambio de sus claves al menos cada 30 días.
  • Al tomar vacaciones o ausentarse de la oficina por un periodo prolongado o por otros motivos, los usuarios deberán realizar el cambio de sus claves.

9.3.1 Uso de información de autenticación secreta

  • Se deben imponer cambios en las contraseñas en aquellos casos en que los usuarios mantengan sus propias contraseñas.
  • Se debe Obligar a los usuarios a cambiar las contraseñas provisorias en su primer procedimiento de identificación, en los casos en que ellos seleccionen sus contraseñas.

9.4 Control de acceso a sistemas y aplicaciones

  • Se debe realizar una evaluación de riesgos a fin de determinar el método de protección adecuado para el acceso al Sistema Operativo.
  • Se debe definir un proceso de conexión seguro, este será diseñado para minimizar la oportunidad de acceso no autorizado.
  • Se deben mantener en secreto los identificadores de sistemas o aplicaciones hasta tanto se halla llevado a cabo exitosamente el proceso de conexión.
  • Se debe desplegar un aviso general advirtiendo que sólo los usuarios autorizados pueden acceder a la computadora.
  • Se debe evitar dar mensajes de ayuda que pudieran asistir a un usuario no autorizado durante el procedimiento de conexión.
  • Se debe validar la información de la conexión sólo al completarse la totalidad de los datos de entrada. Si surge una condición de error, el sistema no debe indicar que parte de los datos es correcta o incorrecta.
  • Se debe Limitar el número de intentos de conexión no exitosos permitidos y:

• Registrar los intentos no exitosos.

• Impedir otros intentos de identificación, una vez superado el límite permitido.

  • Se debe limitar el tiempo máximo permitido para el procedimiento de conexión. Si este es excedido, el sistema debe finalizar la conexión.
  • Se debe asignar a todos los usuarios, un identificador único (ID de usuario) Los identificadores de usuarios no darán ningún indicio del nivel de privilegio otorgado. En circunstancias excepcionales, cuando existe un claro beneficio para la Organización, podría utilizarse un identificador compartido para un grupo de usuarios o una tarea específica. Para casos de esta índole, debería documentarse la justificación y aprobación del Propietario de la Información de que se trate.
  • Se debe establecer un sistema de administración de contraseñas.
  • Se debe imponer el uso de contraseñas individuales para determinar responsabilidades.
  • Se debe permitir que los usuarios seleccionen y cambien sus propias contraseñas (luego de cumplido el plazo mínimo de mantenimiento de las mismas) e incluir un procedimiento de confirmación para contemplar los errores de ingreso.
  • Se debe mantener un registro de las últimas contraseñas utilizadas por el usuario, y evitar la reutilización de las mismas.
  • Se debe evitar mostrar las contraseñas en pantalla, cuando son ingresadas.
  • Se debe almacenar en forma separada los archivos de contraseñas y los datos de sistemas de aplicación.
  • Se debe almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado unidireccional.
  • Se debe modificar todas las contraseñas predeterminadas por el proveedor, una vez instalado el software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.).
  • Se debe garantizar que el medio utilizado para acceder/utilizar el sistema de contraseñas, asegure que no se tenga acceso a información temporal o en tránsito de forma no protegida.
  • Se debe limitar y controlar minuciosamente el uso de los programas utilitarios.
  • Se debe utilizar procedimientos de autenticación para utilitarios del sistema.
  • Se debe separar entre utilitarios del sistema y software de aplicaciones.
  • Se debe limitar el uso de utilitarios del sistema a la cantidad mínima viable de usuarios fiables y autorizados.
  • Se debe evitar que personas ajenas a la Organización tomen conocimiento de la existencia y modo de uso de los utilitarios instalados en la Organización.
  • Se debe establecer autorizaciones para uso ad hoc de utilitarios de sistema.
  • Se debe limitar la disponibilidad de utilitarios de sistema, por ejemplo durante el transcurso de un cambio autorizado.
  • Se debe registrar todo uso de utilitarios del sistema.
  • Se debe definir y documentar los niveles de autorización para utilitarios del sistema.
  • Se debe remover todo el software basado en utilitarios y software de sistema innecesarios.
  • Se debe utilizar lapsos predeterminados, por ejemplo para transmisiones de archivos en lote, o sesiones interactivas periódicas de corta duración.
  • Se debe limitar los tiempos de conexión al horario normal de oficina, de no existir un requerimiento operativo de horas extras o extensión horaria.
  • Se debe documentar debidamente los agentes que no tienen restricciones horarias y las razones de su autorización. También cuando el Propietario de la Información autorice excepciones para una extensión horaria ocasional.
  • Se debe proveer una interfaz para controlar el acceso a las funciones de los sistemas de aplicación.
  • Se debe restringir el conocimiento de los usuarios acerca de la información o de las funciones de los sistemas de aplicación a las cuales no sean autorizados a acceder, con la adecuada edición de la documentación de usuario.
  • Se debe controlar los derechos de acceso de los usuarios, por ejemplo, lectura, escritura, supresión y ejecución.
  • Se debe garantizar que las salidas de los sistemas de aplicación que administran información sensible, contengan sólo la información que resulte pertinente para el uso de la salida, y que la misma se envíe solamente a las terminales y ubicaciones autorizadas.
  • Se debe revisar periódicamente dichas salidas a fin de garantizar la remoción de la información redundante.
  • Se debe restringir el acceso a la información por fuera del sistema encargado de su procesamiento, es decir, la modificación directa del dato almacenado.
  • Se debe identificar y documentar claramente la sensibilidad de un sistema de aplicación. Esta tarea será llevada a cabo por el Área de Sistemas.
  • Se debe identificar y acordar con el Área de Sistemas cuando la aplicación ha de ejecutarse en un ambiente compartido, los sistemas de aplicación con los cuales ésta compartirá los recursos.
  • Se debe coordinar qué servicios estarán disponibles en el entorno donde se ejecutará la aplicación, de acuerdo a los requerimientos de operación y seguridad especificados por el administrador de la aplicación.
  • Se debe considerar la seguridad en la administración de las copias de respaldo de la información que procesan las aplicaciones.
  • Se debe considerar las mismas precauciones de seguridad y privacidad, en la elaboración del plan de continuidad y/o contingencia de la ejecución de la aplicación. Ejemplo: el equipamiento alternativo o las instalaciones de emergencia donde restablecer la aplicación.

9.4.1 Restricción de acceso a la información

  • Los usuarios contarán únicamente con acceso a los puertos (USB, unidad de DVD-RW y elementos afines) que sean necesarios para desarrollar sus actividades de acuerdo a la Matriz de Facultades.
  • Todos los usuarios de la organización deberán contar con los dispositivos periféricos autorizados con base en la Lista Hardware y el procedimiento de Revisión de Software y Hardware.
  • Si un usuario no ha hecho uso de su cuenta para ingresar al sistema durante 5 días, esta deberá ser bloqueada por el Administrador de Sistemas por medio de requisición vía INTRANET Procedimientos de Requisición de servicios de Sistemas generada por el jefe inmediato del usuario en cuestión.

9.4.2 Procedimiento de registros seguros

  • La cuenta de usuario estará definida por lo siguiente: Nombre + . + Apellido Paterno; Ejemplo: nombre.apellidopaterno; se utilizaran únicamente minúsculas como se muestra en el ejemplo.
  • En caso de que ya exista una cuenta de usuario igual, se tomara el segundo nombre o el apellido materno. En caso extraordinario de que todo el nombre coincida para dos personas se agregarán letras arbitrarias para romper la igualdad en la cuenta de usuario.

9.4.3 Sistemas de gestión de contraseñas

  • La cuenta queda bloqueada si la contraseña es introducida erróneamente 3 veces consecutivas.
  • El sistema le indicará al usuario el momento de renovar su contraseña. Si el usuario no la actualiza, la cuenta quedará bloqueada.
  • La contraseña de dominio debe cumplir con los siguientes requisitos; contener 8 caracteres como mínimo y contener letras mayúsculas, minúsculas, números, símbolos (+,-,*, /).

9.4.4 Uso de utilerías privilegiadas en los sistemas

SiCredit proveerá las condiciones de manejo de los tokens de seguridad para los procesos que los utilizan y velará porque los empleados de la Organización hagan un uso responsable de estos.

Normas para uso de tokens de seguridad

  • Los Usuarios de los tokens deben recibirlos y realizar la activación necesaria en los respectivos portales o sitios de uso para poder realizar operaciones por medio de ellos.
  • Los Usuarios de los tokens deben crear los usuarios y perfiles en cada portal o sitio de uso, según las actividades a realizar por cada empleado.
  • Los Usuarios de los tokens deben dar aviso a las entidades emisoras en caso de robo o pérdida de estos con el fin de efectuar el bloqueo respectivo y la reposición de los mismos.
  • Los Usuarios de los tokens deben realizar el cambio de estos, cuando se presente mal funcionamiento, caducidad, cambio de funciones o cambio del titular, reportando a la entidad emisora y devolviendo los dispositivos asignados.
  • Los usuarios que requieren utilizar los tokens de seguridad deben contar con una cuenta de usuario en los portales o sitios de uso de los mismos; dichos tokens harán parte del inventario físico de cada usuario a quien se haya asignado.
  • Los usuarios de los tokens deben devolver el token asignado en estado operativo a la Alta Dirección cuando el vínculo laboral con SiCredit se dé por terminado o haya cambio de cargo.
  • Cada usuario de los portales o sitios de uso de los tokens debe tener su propio dispositivo, el cual es exclusivo, personal e intransferible, al igual que la cuenta de usuario y la contraseña de acceso.
  • El almacenamiento de los tokens debe efectuarse bajo estrictas medidas de seguridad en escritorios con llave al interior de las áreas usuarias, de tal forma que se mantengan fuera del alcance de terceros no autorizados.
  • Los usuarios de los tokens no deben permitir que terceras personas observen la clave que genera el token, así como no deben aceptar ayuda de terceros para la utilización del token.
  • Los usuarios de los tokens deben responder por las transacciones electrónicas que se efectúen con la cuenta de usuario, clave y el token asignado, en el desarrollo de las actividades como funcionarios de SiCredit. En caso de que suceda algún evento irregular con los tokens los usuarios deben asumir la responsabilidad administrativa, disciplinaria y económica.
  • Los usuarios de los tokens deben mantener los tokens asignados en un lugar seco y no introducirlos en agua u otros líquidos.
  • Los usuarios de los tokens deben evitar exponer los tokens a campos magnéticos y a temperaturas extremas.
  • Los usuarios de los tokens deben evitar que los tokens sean golpeados o sometidos a esfuerzo físico.
  • Los usuarios de los tokens no deben abrir los tokens, retirar la batería o placa de circuitos, ya que ocasionará su mal funcionamiento.
  • Los usuarios de los tokens no deben usar los tokens fuera de las instalaciones de SiCredit para evitar pérdida o robo de estos.

9.4.5 Control de acceso a código fuente

  • El código fuente de toda la aplicación desarrollada In House de la Organización deberá ser respaldado con base en la política de Respaldos.
  • Los cambios al código fuente de todas las aplicaciones desarrolladas In House de la Organización deberá ser autorizado y supervisado por el Coordinador del Área de Sistemas.
  • Los cambios al código fuente de todas las aplicaciones desarrolladas In House de la Organización deberán efectuarse en equipos autorizados por el Coordinador del Área de Sistemas.
  • Los cambios al código fuente de todas las aplicaciones desarrolladas In House de la Organización deberán ser actualizados en el código maestro (equipo Coordinador del Área de Sistemas).

A.10 Criptografía

En SiCredit se utilizan sistemas y técnicas criptográficas para la protección de la información con base en un análisis de riesgo efectuado, con el fin de asegurar una adecuada protección de su confidencialidad e integridad.

10.1 Controles de criptografía

Se deben utilizar controles criptográficos para la protección de claves de acceso a sistemas, datos y servicios.

Se deben utilizar controles criptográficos para la transmisión de información clasificada, fuera del ámbito de la Organización.

Se deben utilizar controles criptográficos para el resguardo de información, cuando así surja de la evaluación de riesgos realizada por el Comité Integral.

Se deben desarrollar procedimientos respecto de la administración de claves, de la recuperación de información cifrada en caso de pérdida, compromiso o daño de las claves y en cuanto al reemplazo de las claves de cifrado.

Uso del WinZip para el cifrado de información transmitida fuera y dentro del ámbito de SiCredit.

Uso de certificados de seguridad para el cifrado de información trasmitida vía aplicaciones web.

10.1.1 Política para uso de Controles Criptográficos

Todos los campos de contraseña en las distintas aplicaciones de la organización deberán ser con formato "Password".

Toda la información clasificada que sea transmitida fuera del ámbito de SiCredit, deberá ser empaquetada en un archivo "ZIP" y con una contraseña alfanumérica.

Para la transmisión de información restringida, fuera y dentro del ámbito de SiCredit.

Para el resguardo de información, cuando así surja de la evaluación de riesgos realizada por el Comité Integral con base en la Tabla de Control de Documentos y Registros y la Tabla de Clasificación de la Información.

10.1.2 Gestión de llaves

Las llaves de cifrado se generan con base en las especificaciones de cada proceso y producto.

A. 11 Seguridad Física Y Ambiental

SiCredit proveerá la implantación y velará por la efectividad de los mecanismos de seguridad física y control de acceso que aseguren el perímetro de sus instalaciones en todas sus áreas. Así mismo, controlará las amenazas físicas externas e internas y las condiciones medioambientales de sus oficinas.

Todas las áreas destinadas al procesamiento o almacenamiento de información sensible, así como aquellas en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de información y comunicaciones, se consideras áreas de acceso restringido.

11.1 Áreas Seguras

  • Las solicitudes de acceso al SITE deben ser aprobadas por empleados del Área de Sistemas autorizados; no obstante, los visitantes siempre deberán estar acompañados de un empleado de dicha área durante su visita al Site o los centros de cableado.
  • El Área de Sistemas debe registrar el ingreso de los visitantes al SITE que está bajo su custodia, en una bitácora ubicada en la entrada de estos lugares de forma visible.
  • El Área de Sistemas debe descontinuar o modificar de manera inmediata los privilegios de acceso físico al SITE que está bajo su custodia, en los eventos de desvinculación o cambio en las labores de un empleado autorizado.
  • El Área de Sistemas debe proveer las condiciones físicas y ambientales necesarias para certificar la protección y correcta operación de los recursos de la plataforma tecnológica ubicados en el SITE; deben existir sistemas de control ambiental de temperatura, sistemas de detección y extinción de incendios, sistemas de descarga eléctrica, sistemas de vigilancia y monitoreo y alarmas en caso de detectarse condiciones ambientales inapropiadas. Estos sistemas se deben monitorear de manera permanente.
  • El Área de Sistemas debe velar porque los recursos de la plataforma tecnológica de SiCredit ubicados en el SITE se encuentran protegidos contra fallas o interrupciones eléctricas.
  • El Área de Sistemas debe certificar que el SITE que está bajo su custodia, se encuentre separado de áreas que tengan líquidos inflamables o que corran riesgo de inundaciones e incendios.
  • El Área de Sistemas debe asegurar que las labores de mantenimiento de redes eléctricas, de voz y de datos, sean realizadas por personal idóneo y apropiadamente autorizado e identificado; así mismo, se debe llevar control de la programación de los mantenimientos preventivos.

Normas dirigidas a: ALTA DIRECCIÓN Y COORDINADORES DE ÁREA

  • Alta Dirección y Coordinadores de Área que se encuentren en áreas restringidas deben velar mediante monitoreo por la efectividad de los controles de acceso físico y equipos de vigilancia implantados en su áreas.
  • Alta Dirección y Coordinadores de Área que se encuentren en áreas restringidas deben autorizar cualquier ingreso temporal a sus áreas, evaluando la pertinencia del ingreso; así mismo, deben delegar en personal del área el registro y supervisión de cada ingreso a sus áreas.
  • Alta Dirección y Coordinadores de Área deben velar porque las contraseñas de sistemas de alarma, cajas fuertes, llaves y otros mecanismos de seguridad de acceso a sus áreas solo sean utilizados por los empleados autorizados y, salvo situaciones de emergencia u otro tipo de eventos que por su naturaleza lo requieran, estos no sean transferidos a otros empleados de la Organización.

Normas dirigidas a: TODOS LOS USUARIOS

  • Los ingresos y egresos de personal a las instalaciones de SiCredit deben ser registrados; por consiguiente, los empleados y personal provisto por terceras partes deben cumplir completamente con los controles físicos implantados.
  • Los empleados deben portar su credencial que los identifica como tales en un lugar visible mientras se encuentren en las instalaciones de la Organización; en caso de pérdida de su credencial o tarjeta de acceso a las instalaciones, deben reportarlo a la mayor brevedad posible.
  • Aquellos empleados o personal provisto por terceras partes para los que aplique, en razón del servicio prestado, deben utilizar prendas distintivas que faciliten su identificación.
  • Los empleados de SiCredit y el personal provisto por terceras partes no deben intentar ingresar a áreas a las cuales no tengan autorización.

11.1.1 Perímetro de Seguridad Física

  • Los sitios escogidos para colocar los sistemas de información, equipos de cómputo y comunicaciones, deben estar protegidos por barreras y controles físicos, para evitar intrusión física, inundaciones, y otro tipo de amenazas que afecten su normal operación.
  • El área del SITE debe de permanecer cerrado con llave, sistema de alarma y el encargado de estas es el personal del Área de Sistemas.
  • El tamaño del área del SITE será determinado por la cantidad de hardware necesitado para el procesamiento y almacenamiento de la información.
  • Los requerimientos de tipo ambiental deben ser especificados por los diferentes fabricantes de los equipos.
  • Las medidas de seguridad que se deban tomar, dependerán directamente del valor de los activos de información, su nivel de confidencialidad, y los valores requeridos de disponibilidad.
  • Todas las salidas de en el perímetro de seguridad deben tener alarmas sonoras.

11.1.2 Controles Físicos de Entrada

  • Todos los sitios en donde se encuentren sistemas de procesamiento informático o de almacenamiento, deben ser protegidos de accesos no autorizados, utilizando tecnologías de autenticación, monitoreo y registro de entradas y salidas.
  • La Bitácora de Entradas y Salidas deberá tener registrada la fecha y hora de entrada y salida de los visitantes y estos deben ser supervisados por un elemento del área de Administración.
  • Se debe restringir el acceso de personas a las áreas consideradas como seguras.

Todo sistema de control de acceso debe considerar diferentes categorías de personal:

1) Operadores y usuarios que trabajan regularmente en las áreas seguras.

2) Personal de soporte que requiera acceso periódico.

3) Otros, que requieran acceder muy rara vez.

11.1.3 Aseguramiento de las Oficinas, Cuartos y Sitios

En SiCredit se consideran los siguientes lineamientos para asegurar las oficinas, habitaciones y medios:

a) Se cuenta con los estándares y regulaciones de sanidad y seguridad vigentes.

b) Se cuentan con doble acceso controlado con sistema de esclusa.

c) En SiCredit el edificio es discreto y no da indicación mínima de su propósito, sin carteles obvios dentro y fuera del edificio que indiquen la presencia de actividades de procesamiento de información.

d) Los directorios y teléfonos internos que identifiquen la ubicación de los medios de procesamiento de la información no debieran estar accesibles al público.

11.1.4 Protección contra Amenazas externas y Ambientales

  • Se debe asignar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión, manifestaciones y otras formas de desastres naturales o causados por el hombre.
  • Se deberá prestar consideración a cualquier amenaza contra la seguridad presentada por vecinos locales; por ejemplo, un fuego en un edificio vecino, escape de agua en el techo o pisos en sótano o una explosión en la calle.

Se deberán considerar los siguientes lineamientos para evitar el daño por fuego, inundación, terremoto, explosión, manifestaciones y otras formas de desastres naturales o causados por el hombre:

a) Los materiales peligrosos o combustibles debieran ser almacenados en sitios adecuados para el resguardo.

b) Los suministros a granel como papelería debieran ser almacenados en sitios adecuados para el resguardo.

c) El equipo de reemplazo y los medios de respaldo debieran ser almacenados en sitios adecuados para el resguardo.

d) Se debe proporcionar equipo contra-incendios ubicado adecuadamente en toda la Organización.

11.1.5 Trabajo en Áreas Seguras

  • Se debe diseñar y aplicar la protección física y los lineamientos para trabajar en áreas aseguradas.
  • El personal debe estar al tanto de la existencia o las actividades dentro del área asegurada sólo conforme las necesite conocer.
  • Se debe evitar el trabajo no-supervisado en el área asegurada tanto por razones de seguridad como para evitar las oportunidades para actividades maliciosas.
  • Las áreas aseguradas vacías deben ser cerradas físicamente bajo llave y revisadas periódicamente.
  • No se debe permitir equipo fotográfico, de vídeo, audio y otro equipo de grabación; como cámaras en equipos móviles; a no ser que sea autorizado.

Los arreglos para trabajar en las áreas aseguradas incluyen controles para los empleados, contratistas y terceros que trabajen en el área asegurada, así como otras actividades de terceros que allí se realicen.

11.1.6 Áreas de Acceso Público, de Entrega y Carga

Se deben controlar los puntos de acceso como las áreas de entrega y carga y otros puntos por donde personas no-autorizadas puedan ingresar a la organización y, si fuese posible, deben aislarse de los medios de procesamiento de información para evitar el acceso no autorizado. Se debieran considerar los siguientes lineamientos.

  • El Área de Sistemas, en conjunto con el área de Compras debe asegurarse de que las áreas de carga y descarga de equipos de cómputo se encuentren aisladas de áreas de procesamiento de información.
  • Los equipos de cómputo deben ser transportados con las medidas de seguridad apropiadas, que garanticen su integridad física.
  • El acceso al área de entrega y carga desde fuera del edificio se deberá restringir al personal identificado y autorizado.
  • Se deberá diseñar el área de entrega y carga de manera que se pueda descargar los suministros sin que el personal de entrega tenga acceso a otras partes del edificio.
  • Las puertas externas del área de entrega y carga deberán estar aseguradas cuando se abren las puertas internas.
  • Se deberá inspeccionar el material que ingresa para evitar amenazas potenciales antes que el material sea trasladado del área de entrega y carga al punto de uso.
  • Se deberá registrar el material que ingresa en concordancia con los procedimientos de gestión de activos a su ingreso a la organización.

11.2 Seguridad del Equipo

  • Para evitar pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la Organización, se deberá proteger el equipo de amenazas físicas y ambientales.
  • La protección del equipo (incluyendo aquel utilizado fuera de la Organización) es necesaria para reducir el riesgo de acceso no-autorizado a la información y proteger contra pérdida o daño. Esto también debe considerar la ubicación y eliminación del equipo.
  • El equipo se debe ubicar de manera que se minimice el acceso innecesario a las áreas de trabajo.
  • Los medios de procesamiento de la información que manejan alta confidencialidad debe ubicarse de manera que se restrinja el ángulo de visión para reducir el riesgo que la información sea vista por personas no autorizadas durante su uso.
  • Se debe asegurar los medios de almacenamiento para evitar el acceso no autorizado.
  • Se debe aislar los ítems que requieren protección especial para reducir el nivel general de la protección requerida.
  • Se deben adoptar controles para minimizar el riesgo de amenazas potenciales; por ejemplo, robo, fuego, explosivos, humo, agua (o falla en el suministro de agua), polvo, vibración, efectos químicos, interferencias en el suministro eléctrico, interferencia en las comunicaciones, radiación electromagnética y vandalismo.
  • Se debe establecer lineamientos sobre comer, beber y fumar en la proximidad de los medios de procesamiento de información.
  • Se debe monitorear las condiciones ambientales; tales como temperatura y humedad, que pudiera afectar adversamente la operación de los medios de procesamiento de la información.
  • Se debe aplicar protección contra rayos a todos los edificios y se deberán adaptar filtros de protección contra rayos a todas las líneas de ingreso de energía y comunicaciones.

11.2.1 Ubicación y protección del Equipo

SiCredit para evitar la pérdida, robo o exposición al peligro de los recursos de la plataforma tecnológica de la Organización que se encuentren dentro o fuera de sus instalaciones, proveerá los recursos que garanticen la mitigación de riesgos sobre dicha plataforma tecnológica.

Normas dirigidas a: ÁREA DE SISTEMAS

  • El Área de Sistemas debe proveer los mecanismos y estrategias necesarios para proteger la confidencialidad, integridad y disponibilidad de los recursos tecnológicos, dentro y fuera de las instalaciones de SiCredit.
  • El Área de Sistemas debe generar estándares de configuración segura para los equipos de cómputo de los empleados de la Organización y configurar dichos equipos con los estándares establecidos.
  • El Área de Sistemas debe establecer las condiciones que deben cumplir los equipos de cómputo de personal provisto por terceros, que requieran conectarse a la red de datos de la Organización y verificar el cumplimiento de dichas condiciones antes de conceder a estos equipos acceso a los servicios de red.
  • El Área de Sistemas debe aislar los equipos de áreas sensibles, para proteger su acceso de los demás empleados de la empresa.
  • El Área de Sistemas es la única área autorizada para realizar movimientos y asignaciones de recursos tecnológicos; por consiguiente, se encuentra prohibida la disposición que pueda hacer cualquier empleado de los recursos tecnológicos de la Organización.
  • Las estaciones de trabajo, dispositivos móviles y demás recursos tecnológicos asignados a los empleados y personal provisto por terceras partes deben de cumplir las instrucciones técnicas que proporcione El Área de Sistemas.
  • Cuando se presente una falla o problema de hardware o software en una estación de trabajo u otro recurso tecnológico propiedad de SiCredit el usuario responsable debe realizar su requisición por medio de la Intranet, donde el personal del área de Sistemas atenderá a fin de realizar una asistencia adecuada. El usuario no debe intentar solucionar el problema.
  • La instalación, reparación o retiro de cualquier componente de hardware o software de las estaciones de trabajo, dispositivos móviles y demás recursos tecnológicos de la Organización, solo puede ser realizado por los empleados del Área de Sistemas, o personal de terceras partes autorizado por dicha área.

11.2.2 Suministros de Apoyo (Energía u Otros)

  • Se debe proteger el equipo de fallas de energía y otras interrupciones causadas por fallas en los servicios públicos de soporte. Todos los servicios públicos de soporte; como electricidad, suministro de agua, desagüe, calefacción/ventilación y aire acondicionado; deberán ser adecuados para los sistemas que soportan. Los servicios públicos de soporte deben ser inspeccionados regularmente y, conforme sea apropiado, probados para asegurar su adecuado funcionamiento y para reducir cualquier riesgo por un mal funcionamiento o falla. Se debe proveer un suministro eléctrico adecuado que esté de acuerdo a las especificaciones del fabricante del equipo.
  • Se recomienda un dispositivo de suministro de energía ininterrumpido (UPS) o el funcionamiento continuo del equipo que soporta las operaciones críticas de la Organización. Los planes de contingencia para la energía deberán abarcar la acción a tomarse en el caso de una falla de energía prolongada. Se debe considerar una planta de energía eléctrica si se requiere que la Operación continué en el caso de una falla de energía prolongada.
  • Se debe tener disponible un adecuado suministro de combustible para asegurar que la planta de energía eléctrica pueda funcionar durante un período prolongado.
  • El equipo UPS y la planta de energía eléctrica se deben checar regularmente para asegurar que tengan la capacidad adecuada y para probar su concordancia con las recomendaciones del fabricante.
  • Se deberá proporcionar iluminación de emergencia en caso de una falla en la fuente de energía principal. El suministro de energía deberá ser estable y adecuado para suministrar aire acondicionado y los sistemas contra-incendios (donde se utilicen).
  • Se deberá evaluar e instalar, si se requiere, un sistema de alarma para detectar mal funcionamiento en los servicios públicos de soporte. El equipo de telecomunicaciones se deberá conectar al proveedor del servicio mediante por lo menos dos rutas para evitar que la falla en una conexión evite el desempeño de los servicios de voz. Los servicios de voz deberán ser adecuados para cumplir con los requerimientos legales de las comunicaciones de emergencia.
  • Las opciones para lograr la continuidad de los suministros de energía incluyen múltiples alimentaciones para evitar que una falla en el suministro de energía.

11.2.3 Seguridad del Cableado

El cableado de la energía y las telecomunicaciones que llevan datos o dan soporte a los servicios de información deben protegerse contra la intercepción o daño. Se debe considerar los siguientes lineamientos para la seguridad del cableado.

  • Cuando sea posible, las líneas de energía y telecomunicaciones que van a los medios de procesamiento de información debieran ser subterráneas o deben estar sujetas a una alternativa de protección adecuada.
  • El cableado de la red debe estar protegido contra intercepciones no autorizadas o daños, por ejemplo, utilizando un tubo o evitando las rutas a través de áreas públicas.
  • Los cables de energía deben estar separados de los cables de comunicaciones para evitar la interferencia.
  • Se debe utilizar marcadores de cables y equipos claramente identificables para minimizar errores en el manipuleo, como un empalme accidental de los cables de red equivocados.
  • Se debe utilizar una lista de empalmes documentados para reducir la posibilidad de error.

Para sistemas sensibles o críticos se deben considerar más controles como:

1) El uso de rutas alternativas y/o medios de transmisión proporcionan una seguridad adecuada.

2) El uso de cableado de fibra óptica.

3) Acceso controlado para empalmar los paneles y los cuartos de cableado.

11.2.4 Mantenimiento de Equipo

Se debe mantener correctamente el equipo para asegurar su continua disponibilidad e integridad. Se debe considerar los siguientes lineamientos para el mantenimiento de equipo.

  • El Área de Sistemas debe realizar mantenimientos preventivos y correctivos de los recursos de la plataforma tecnológica de la Organización.
  • El Área de compras tiene la responsabilidad de incluir dentro del Plan Anual de mantenimiento de Cómputo y Comunicación la verificación aleatoria a los equipos de cómputo de todas las dependencias y puntos de atención de la organización.
  • El equipo se debe mantener en concordancia con los intervalos y especificaciones de servicio recomendados por el proveedor.
  • Sólo el personal del Área de Sistemas debe llevar a cabo las reparaciones y dar servicio al equipo.
  • Se deben mantener registros de todas las fallas sospechadas y reales, y todo mantenimiento preventivo y correctivo.
  • Se deben implementar los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal del Área de Sistemas en la Organización o fuera de la misma; cuando sea necesario, se debe revisar la información confidencial del equipo.
  • Se debe cumplir con todos los requerimientos impuestos por las pólizas de seguros.

11.2.5 Remoción de Activos

  • El equipo, información o software no debe retirarse sin autorización previa por parte del Área de Sistemas.
  • Los usuarios, empleados, contratistas y terceras personas que tienen la autoridad para permitir el retiro de los activos fuera de la organización deben estar claramente identificados.
  • Se debe establecer límites de tiempo para el retiro del equipo y se debe realizar un chequeo de la devolución.
  • Cuando sea necesario y apropiado, el equipo debe ser registrado como retirado de la Organización y se debe registrar su retorno.
  • También se pueden realizar chequeos inesperados para detectar el retiro de propiedad, dispositivos de grabación no-autorizados, armas, etc., y evitar su ingreso a la Organización. Estos chequeos inesperados deben ser llevados a cabo en concordancia con la legislación y regulaciones vigentes. Las personas deben saber que se llevan a cabo chequeos inesperados, y los chequeos se deben realizar con la debida autorización de los requerimientos legales y reguladores.

11.2.6 Seguridad del Equipo Fuera de las Instalaciones

Se debe aplicar seguridad al equipo fuera de la organización tomando en cuenta los diferentes riesgos de trabajar fuera. Sin importar la propiedad, el uso de cualquier equipo de procesamiento de la información fuera de la Organización debe ser autorizado por la Alta Dirección. Se deben considerar los siguientes lineamientos para la protección del equipo fuera de la Organización:

  • Los equipos portátiles siempre deben ser llevados como equipaje de mano y se debe tener especial cuidado de no exponerlos a fuertes campos electromagnéticos.
  • En caso de pérdida o robo de un equipo de cómputo de SiCredit, se debe informar de forma inmediata a su Coordinador de Área para que se inicie el trámite interno y se debe poner la denuncia ante la autoridad competente.
  • Se debe determinar controles para el trabajo en casa a través de una evaluación del riesgo y los controles apropiados conforme sea apropiado; por ejemplo, archivos con llave, política de escritorio vacío, controles de acceso para las computadoras y una comunicación segura con la Organización.
  • Se debe contar con un seguro adecuado para proteger el equipo fuera de la Organización.

11.2.7 Desecho o re utilización Segura de equipo

  • Se deben checar los componentes del equipo que contiene medios de almacenamiento para asegurar que se haya retirado o sobre-escrito cualquier dato confidencial o licencia de software antes de su eliminación.
  • Los dispositivos que contienen información confidencial deberán ser físicamente destruidos o se deben destruir, borrar o sobre-escribir la información utilizando técnicas que hagan imposible recuperar la información original, en lugar de simplemente utilizar la función estándar de borrar o formatear.
  • Los dispositivos que contienen datos confidenciales pueden requerir una evaluación del riesgo para determinar si los componentes deben ser físicamente destruidos en lugar de enviarlos a reparar o descartar.
  • El Área de Sistemas debe generar y aplicar lineamientos para la disposición segura de los equipos de cómputo de los empleados de la Organización, ya sea cuando son dados de baja o cambian de usuario.

11.2.8 Equipo de Usuario Desatendido

  • El personal de la Organización debe bloquear sus estaciones de trabajo en el momento de abandonar su puesto de trabajo.
  • Los empleados de SiCredit no deben dejar encendidas las estaciones de trabajo u otros recursos tecnológicos en horas no laborables.
  • Los equipos de cómputo, bajo ninguna circunstancia, deben ser dejados desatendidos en lugares públicos o a la vista, en el caso de que estén siendo transportados.

11.2.9 Política de Pantalla y Escritorio Limpio

Preservar la seguridad de la información de SiCredit por medio de buenas prácticas en el manejo de documentos, medios de almacenamiento removibles y pantalla de los dispositivos de procesamiento de información.

Generar controles para que los empleados de SiCredit conserven el escritorio limpio de documentos, medios de almacenamiento removibles y pantalla limpia en sus dispositivos de almacenamiento y procesamiento de información.

Para el aseguramiento de la información sensible de la Organización, los empleados deberán adoptar buenas prácticas al momento de manejar y administrar la información del SiCredit, teniendo en cuenta los niveles de clasificación de la información, los riesgos identificados. Para ello se deberá tener en cuenta.

  • No deberán permanecer a la vista documentos en papel, dispositivos de almacenamiento (CDs, memorias USB, etc) Sobre los escritorios u oficinas, con el fin de evitar riesgos de acceso no autorizado, pérdida y daño de la información durante el horario laboral y fuera del mismo.
  • La información sensible o crítica, tanto en medios físicos como digitales deben ser guardados bajo llave cuando no estén siendo utilizados, especialmente cuando la oficina se encuentre vacía.
  • Al momento de dejar desatendidos los equipos de cómputo deberán dejarse protegidas bloqueando la cuenta de usuario.
  • Los lugares en donde se encuentren ubicados los puntos de ingreso y salida de correo y mensajería, así como las impresoras, no deberán ser de fácil acceso al público, con el fin de evitar el hurto o pérdida de información.
  • Los documentos que contienen información confidencial o sensible deberán ser retirados inmediatamente de la impresora, fotocopiadora.
  • Se limitará en lo posible, el uso de fotocopiadoras y tecnologías de reproducción, con el fin de conservar la confidencialidad y evitar la pérdida o fuga de información de la Organización.
  • Los datos sensibles almacenados en los equipos o sistemas de información, deberán encontrarse ubicados en rutas que no sean de fácil acceso.
  • Los empleados de la Organización deben asegurar que sus escritorios se encuentran libres de los documentos que son utilizados durante el desarrollo de sus funciones al terminar la jornada laboral y, que estos sean almacenados bajo las protecciones de seguridad necesarias.

A. 12 Seguridad De Las Operaciones

12.1 Responsabilidades y Procedimientos Operacionales

  • Se debe asegurar la operación correcta y segura de los medios de procesamiento de la información.
  • Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todos los medios de procesamiento de la información. Esto incluye el desarrollo de los procedimientos de operación apropiados.
  • Cuando sea apropiado, se debe implementar la segregación de deberes para reducir el riesgo de negligencia o mal uso deliberado del sistema.
  • El Área de Sistemas, encargada de la operación y administración de los recursos tecnológicos que apoyan los procesos de SiCredit, asignará funciones específicas a los empleados de toda la Organización, quienes deben efectuar la operación y administración de dichos recursos tecnológicos, manteniendo y actualizando la documentación de los procesos operativos para la ejecución de las actividades. Así mismo, velará por la eficiencia de los controles implantados en los procesos operativos asociados a los recursos tecnológicos con el objeto de proteger la confidencialidad, la integridad y la disponibilidad de la información manejada y asegurará que los cambios efectuados sobre los recursos tecnológicos, serán adecuadamente controlados y debidamente autorizados.
  • El Área de Sistemas proveerá la capacidad de procesamiento requerida en los recursos tecnológicos y sistemas de información de la Organización, efectuando proyecciones de crecimiento y provisiones en la plataforma tecnológica con una periodicidad definida con base en Plan Anual de Mantenimiento de Equipo de Cómputo y Comunicación.
  • El Área de Sistemas debe efectuar, la documentación y actualización de los procedimientos relacionados con la operación y administración de la plataforma tecnológica de la Organización.
  • El Área de Sistemas debe proporcionar manuales de configuración y operación de los sistemas operativos, firmware, servicios de red, bases de datos y sistemas de información que conforman la plataforma tecnológica de SiCredit.
  • El Área de Sistemas debe realizar estudios sobre la demanda y proyecciones de crecimiento de los recursos administrados (Capacity Planning) de manera periódica, con el fin de asegurar el desempeño y capacidad de la plataforma tecnológica. Estos estudios y proyecciones deben considerar aspectos de consumo de recursos de procesadores, memorias, discos, servicios de impresión, anchos de banda, internet y tráfico de las redes de datos, entre otros.

12.1.1 Procedimientos Operativos Documentados

Los procedimientos de operación se deben documentar, mantener y poner a disposición de todos los usuarios que los necesiten. Se deben preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación; tales como procedimientos para encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, SITE, manejo del correo y seguridad. Los procedimientos de operación deben especificar las instrucciones para la ejecución detallada de cada trabajo incluyendo:

  • Procesamiento y manejo de información.
  • Copia de seguridad o respaldo.
  • Requerimientos de programación de horarios, incluyendo las interdependencias con otros sistemas, los tiempos de culminación y horarios de los primeros y últimos trabajos.
  • Instrucciones para el manejo de errores u otras condiciones excepcionales, las cuales podrían surgir durante la ejecución del trabajo, incluyendo las restricciones sobre el uso de las utilidades del sistema.
  • Contactos de soporte en el evento de dificultades operacionales o técnicas inesperadas.
  • Instrucciones para el manejo de output especial y medios, tales como el uso de papelería especial o el manejo de output confidencial incluyendo los procedimientos para la eliminación segura del output de trabajo fallido.
  • Procedimientos de reinicio y recuperación del sistema para su uso en el evento de una falla en el sistema.
  • La gestión de la información del rastro de auditoría y registro del sistema.

Los procedimientos de operación y los procedimientos documentados para las actividades del sistema deben ser tratados como documentos formales y cambios autorizados por la Alta Dirección. Donde sea técnicamente factible, los sistemas de información deben ser manejados consistentemente, utilizando los mismos procedimientos, herramientas y utilidades.

12.1.2 Administración del Cambio

Se deben controlar los cambios en los medios y sistemas de procesamiento de la información. Los sistemas operacionales y el software de aplicación deben estar sujetos a un estricto control del cambio. En particular, se deben considerar los siguientes puntos:

  • Identificación y registro de cambios significativos.
  • Planeación y prueba de cambios.
  • Evaluación de los impactos potenciales de los cambios, incluyendo los impactos de seguridad.
  • Procedimiento de aprobación formal para los cambios propuestos.
  • Comunicación de los detalles del cambio para todas las personas relevantes.
  • Procedimientos de emergencia y respaldo, incluyendo los procedimientos y responsabilidades para abortar y recuperarse de cambios fallidos y eventos inesperados.
  • Se deben establecer las responsabilidades y procedimientos formales para asegurar un control satisfactorio de todos los cambios en el equipo, software o procedimientos. Cuando se realicen los cambios, se debe mantener un registro de auditoría conteniendo toda la información relevante.

12.1.3 Gestión de Capacidades

  • Se deben monitorear, afinar el uso de los recursos y se deben realizar proyecciones de los requerimientos de capacidad futura para asegurar el desempeño requerido del sistema.
  • Se deben identificar los requerimientos de capacidad de cada actividad nueva y en proceso.
  • Se deben aplicar la afinación y monitoreo del sistema para asegurar y, cuando sea necesario, mejorar la disponibilidad y eficiencia de los sistemas. Se deben establecer detectores de controles para indicar los problemas en el momento debido. Las proyecciones de requerimientos futuros deberán tomar en cuenta los requerimientos de los negocios y sistemas nuevos y las tendencias actuales y proyectadas en las capacidades de procesamiento de la información de la Organización.
  • Se debe prestar atención particular a cualquier recurso con tiempos de espera largos de abastecimiento o costos altos; por lo tanto, los Coordinadores de Área deberán monitorear la utilización de los recursos claves del sistema. Ellos deben identificar las tendencias de uso, particularmente en relación con las aplicaciones comerciales o las herramientas del sistema de información.
  • Los Coordinadores de Área deben utilizar esta información para identificar y evitar cuellos de botella potenciales y depender del personal clave que podría presentar una amenaza a la seguridad o los servicios del sistema, y deberán planear la acción apropiada.

12.1.4 Separación de Sitios de Desarrollo, Pruebas y Operación

Los medios de desarrollo, prueba y operación deben estar separados para reducir los riesgos de acceso no-autorizado o cambios en el sistema operacional. Se debe identificar el nivel de separación necesario entre los ambientes de desarrollo, prueba y operación para evitar los problemas operacionales y se debe implementar los controles apropiados. Se deben considerar los siguientes puntos:

  • Se debe definir y documentar las reglas para la transferencia de software del estado de desarrollo al operacional.
  • Los software de desarrollo y operacional deben correr en sistemas o procesadores de cómputo, y en diferentes dominios o directorios.
  • Los compiladores, editores y otras herramientas de desarrollo o utilidades del sistema no deben ser accesibles desde los sistemas operacionales cuando no se requieran.
  • El ambiente del sistema de prueba deben emular el ambiente del sistema operacional lo más estrechamente posible.
  • Los usuarios deben utilizar perfiles de usuario diferentes para los sistemas operacionales y de prueba, y los menús debieran mostrar los mensajes de identificación apropiados para reducir el riesgo de error.
  • El dato confidencial no debe ser copiado en el ambiente del sistema de prueba.

12.2 Protección de Malware

El software y los medios de procesamiento de la información son vulnerables a la introducción de códigos maliciosos; como virus de cómputo, virus de red, caballos Troyanos y bombas lógicas. Los usuarios deberán estar al tanto de los peligros de los códigos maliciosos. Cuando sea apropiado, el Área de Sistemas debe introducir controles para evitar, detectar y eliminar los códigos maliciosos.

  • El Área de Sistemas proporcionará los mecanismos necesarios que garanticen la protección de la información y los recursos de la plataforma tecnológica en donde se procesa y almacena, adoptando los controles necesarios para evitar la divulgación, modificación o daño permanente ocasionados por el contagio de software malicioso. Además, proporcionará los mecanismos para generar cultura de seguridad entre sus empleados frente a los ataques de software malicioso.
  • El Área de Sistemas debe proveer herramientas tales como antivirus, antimalware, anti spam, antispyware, entre otras, que reduzcan el riesgo de contagio de software malicioso y respalden la seguridad de la información contenida y administrada en la plataforma tecnológica de SiCredit y los servicios que se ejecutan en la misma.
  • El Área de Sistemas debe asegurar que el software de antivirus, antimalware, anti spam y antispyware cuente con las licencias de uso requeridas, certificando así su autenticidad y la posibilidad de actualización periódica de las últimas bases de datos de firmas del proveedor del servicio.
  • El Área de Sistemas debe certificar que la información almacenada en la plataforma tecnológica sea escaneada por el software de antivirus, incluyendo la información que se encuentra contenida y es transmitida por el servicio de correo electrónico.
  • El Área de Sistemas debe asegurarse que los usuarios no puedan realizar cambios en la configuración del software de antivirus, antispyware, anti spam, antimalware.
  • El Área de Sistemas debe certificar que el software de antivirus, antispyware, anti spam, antimalware, posea las últimas actualizaciones y parches de seguridad, para mitigar las vulnerabilidades de la plataforma tecnológica.
  • Los usuarios de recursos tecnológicos no deben cambiar o eliminar la configuración del software de antivirus, antispyware, antimalware, anti spam definida por el Área de Sistemas; por consiguiente, únicamente podrán realizar tareas de escaneo de virus en diferentes medios.
  • Los usuarios de recursos tecnológicos deben ejecutar el software de antivirus, antispyware, anti spam, antimalware sobre los archivos y/o documentos que son abiertos o ejecutados por primera vez, especialmente los que se encuentran en medios de almacenamiento externos o que provienen del correo electrónico.
  • Los usuarios deben asegurarse que los archivos adjuntos de los correos electrónicos descargados de internet o copiados de cualquier medio de almacenamiento, provienen de fuentes conocidas y seguras para evitar el contagio de virus informáticos y/o instalación de software malicioso en los recursos tecnológicos.
  • Los usuarios que sospechen o detecten alguna infección por software malicioso deben notificar al Área de Sistemas, para que a través de ella, se tomen las medidas necesarias correspondientes.

12.2.1 Controles contra Malware

Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se deberán implementar procedimientos para el apropiado conocimiento del usuario.

La protección contra códigos maliciosos se debe basar en la detección de códigos maliciosos y la reparación de software, conciencia de seguridad, y los apropiados controles de acceso al sistema y gestión del cambio.

Se debe considerar los siguientes lineamientos:

a) Establecer una política formal prohibiendo el uso de software no-autorizado.

b) Establecer una política formal para proteger contra riesgos asociados con la obtención de archivos, ya sea a través de redes externas o cualquier otro medio, indicando las medidas de protección a tomarse.

c) Realizar revisiones regulares del software y contenido de data de los sistemas que sostienen los procesos comerciales críticos; se debe investigar formalmente la presencia de cualquier activo no-aprobado o enmiendas no-autorizadas.

d) La instalación y actualización regular de software para la detección o reparación de códigos maliciosos para revisar las computadoras y medios como un control preventivo o una medida rutinaria; los chequeos llevados a cabo deben incluir:

  • Checar cualquier archivo en medios electrónicos u ópticos, y los archivo recibidos a través de la red para detectar códigos maliciosos antes de utilizarlo.
  • Checar los adjuntos y descargas de los correos electrónicos para detectar códigos maliciosos antes de utilizarlos, este chequeo debiera llevarse a cabo en lugares diferentes; por ejemplo, servidores de correo electrónico, computadoras desktop y cuando se ingresa a la red de la organización.
  • Checar las páginas Web para detectar códigos maliciosos.

e) Definición, gestión, procedimientos y responsabilidades para lidiar con la protección de códigos maliciosos en los sistemas, capacitación en su uso, reporte y recuperación de ataques de códigos maliciosos.

f) Preparar planes apropiados para la continuidad del negocio para recuperarse de ataques de códigos maliciosos, incluyendo todos los datos y respaldo (back-up) de software y procesos de recuperación.

g) Implementar procedimiento para la recolección regular de información, como suscribirse a listas de correos y/o checar Web sites que dan información sobre códigos maliciosos nuevos.

h) Implementar procedimientos para verificar la información relacionada con el código malicioso y para asegurar que los boletines de advertencia sean exactos e informativos, el Área de Sistemas deberá asegurarse que se utilicen fuentes calificadas; por ejemplo, periódicos acreditados, sitios de Internet confiables o proveedores que producen software para protegerse de códigos maliciosos; que diferencien entre bromas pesadas y códigos maliciosos reales; todos los usuarios deben estar al tanto del problema de las bromas pesadas y qué hacer cuando se reciben.

12.3 Respaldos

Mantener la integridad y disponibilidad de la información y los medios de procesamiento de información.

  • Se deben establecer los procedimientos de rutina para implementar la política de respaldo acordada y la estrategia para tomar copias de respaldo de los datos y practicar su restauración oportuna.
  • Se deben hacer copias de respaldo de la información y software y se debe probar regularmente en concordancia con la política de copias de respaldo acordada.
  • Se deben proporcionar medios de respaldo adecuados para asegurar que toda la información esencial y software se pueda recuperar después de un desastre o falla de medios.
  • Se deberá definir el nivel necesario de respaldo de la información.
  • Se deben producir registros exactos y completos de las copias de respaldo y procedimientos documentados de la restauración.
  • La extensión (por ejemplo, respaldo completo o diferencial) y la frecuencia de los respaldos deben reflejar los requerimientos comerciales de la Organización, los requerimientos de seguridad de la información involucrada, y el grado crítico de la información para la operación continúa de la Organización.
  • Las copias de respaldo se deben almacenar en un lugar apartado, a la distancia suficiente como para escapar de cualquier daño por un desastre en la Organización.
  • A la información de respaldo se le debe dar el nivel de protección física y ambiental apropiado consistente con los estándares aplicados en la Organización; los controles aplicados a los medios en la Organización se deben extender para cubrir la ubicación de la copia de respaldo.
  • Los medios de respaldo se deben probar regularmente para asegurar que se puedan confiar en ellos para usarlos cuando sea necesaria en caso de emergencia.
  • Los procedimientos de restauración se deben checar y probar regularmente para asegurar que sean efectivos y que pueden ser completados dentro del tiempo asignado en los procedimientos operacionales para la recuperación.
  • En situaciones cuando la confidencialidad es de importancia, las copias de respaldo debieran ser protegidas por medio de una codificación.
  • Los procedimientos de respaldo para los sistemas individuales deben ser probados regularmente para asegurar que cumplan con los requerimientos de los planes de continuidad del negocio. Para sistemas críticos, los procedimientos de respaldo deben abarcar toda la información, aplicaciones y datos de todos los sistemas, necesarios para recuperar el sistema completo en caso de un desastre.
  • Se debe determinar el período de retención para la información comercial esencial, y también cualquier requerimiento para que las copias de archivo se mantengan permanentemente.
  • Los procedimientos de respaldo pueden ser automatizados para facilitar el proceso de respaldo y restauración. Estas soluciones automatizadas deben ser probadas suficientemente antes de su implementación y también a intervalos regulares.
  • La Alta Dirección certificará la generación de copias de respaldo y almacenamiento de su información crítica, proporcionando los recursos necesarios y estableciendo los procedimientos y mecanismos para la realización de estas actividades. Las áreas propietarias de la información, con el apoyo del Área de Sistemas, encargada de la generación de copias de respaldo, definirán la estrategia a seguir y los periodos de retención para el respaldo y almacenamiento de la información.
  • El Área de Sistemas velará porque los medios magnéticos que contienen la información crítica sean almacenados en una ubicación diferente a las instalaciones donde se encuentra dispuesta.
  • El sitio alterno donde se resguarden las copias de respaldo debe contar con los controles de seguridad física y medioambiental apropiados.

12.3.1 Respaldo de Información

  • El Área de Sistemas será la encargada de efectuar las copias de respaldo con base en la solicitud realizada por la Alta Dirección de SiCredit.
  • El Área de Sistemas debe generar y adoptar los procedimientos para la generación, restauración, almacenamiento y tratamiento para las copias de respaldo de la información, velando por su integridad y disponibilidad.
  • El Área de Sistemas debe disponer de los recursos necesarios para permitir la identificación de los medios de almacenamiento, la información contenida en ellos y la ubicación física de los mismos para permitir un rápido y eficiente acceso a los medios que contienen la información resguardada.
  • El Área de Sistemas debe llevar a cabo los procedimientos para realizar pruebas de recuperación a las copias de respaldo, para así comprobar su integridad y posibilidad de uso en caso de ser necesario.
  • El Área de Sistemas debe definir las condiciones de transporte o transmisión y custodia de las copias de respaldo de la información que son almacenadas externamente.
  • El Área de Sistemas debe proporcionar apoyo para la definición de las estrategias de generación, retención y rotación de las copias de respaldo de la los activos información de la Organización.
  • Los propietarios de los activos de información deben definir, en conjunto con El Área de Sistemas, las estrategias para la generación, retención y rotación de las copias de respaldo de los activos de información.
  • Es responsabilidad de los usuarios de la plataforma tecnológica de SiCredit identificar la información crítica que debe ser respaldada y almacenarla de acuerdo con su nivel de clasificación.

12.4 Registro y Monitoreo

  • Se deben establecer procedimientos para el monitoreo del uso de los medios de procesamiento de la información y se deben revisar regularmente los resultados de las actividades de monitoreo.
  • Se debe determinar el nivel de monitoreo requerido para los medios individuales mediante una evaluación del riesgo. La Organización debe cumplir con los requerimientos legales relevantes aplicables para sus actividades de monitoreo.
  • Se deben detectar las actividades de procesamiento de información no autorizadas.
  • Se deben monitorear los sistemas y se deben reportar los eventos de seguridad de la información. Se deben utilizar bitácoras de operador y se deben registrar las fallas para asegurar que se identifiquen los problemas en los sistemas de información con base en el Procedimiento de Incidencias de Sistemas.
  • La Organización debe cumplir con todos los requerimientos legales relevantes aplicables a sus actividades de monitoreo y registro.
  • Se debe utilizar el monitoreo del sistema para checar la efectividad de los controles adoptados y para verificar la conformidad con un modelo de política de acceso.
  • El Área de Sistemas realizará un monitoreo permanente del uso que dan los empleados a los recursos de la plataforma tecnológica y los sistemas de información de la Organización. Además, velará por la custodia de los registros de auditoria cumpliendo con los periodos de retención establecidos para dichos registros.
  • El Área de Sistemas definirá la realización de monitoreo de los registros de auditoria sobre los aplicativos donde se opera los procesos misionales de la Organización.

Las áreas que se deben considerar incluyen:

a) Acceso autorizado, incluyendo detalles tales como:

  • ID del usuario.
  • Fecha y hora de los eventos claves.
  • Tipos de eventos.
  • Archivo a los cuales se tuvo acceso.
  • Programas/utilidades utilizados.

b) Todas las operaciones privilegiadas, tales como:

  • Uso de las cuentas privilegiadas; por ejemplo, supervisor, raíz, administrador.
  • Inicio y apagado del sistema.
  • Dispositivo I/O para adjuntar y eliminar lo adjuntado.

c) Intentos de acceso no autorizado, como:

  • Accesos del usuario fallidas o rechazadas.
  • Acciones fallidas o rechazadas que involucran la información y otros recursos.
  • Violaciones a la política de acceso y notificaciones para los ‘Gateway’ y ‘firewalls’ de la red.
  • Alertas de los sistemas de detección de intrusiones.

d) Alertas o fallas del sistema como:

  • Alertas o mensajes en la consola.
  • Excepciones del registro del sistema.
  • Alarmas de la gestión de la red.
  • Alarmas activadas por el sistema de control de acceso.
  • Cambios o intentos de cambio en los marcos y controles del sistema de seguridad.

e) La frecuencia con que se revisan los resultados de las actividades de monitoreo dependerá de los riesgos involucrados. Los factores de riesgo a considerarse incluyen:

  • Grado crítico de los procesos de aplicación.
  • Valor, sensibilidad y grado crítico de la información involucrada.
  • Antecedentes de infiltración y mal uso del sistema, y la frecuencia con la que se explotan las vulnerabilidades.
  • Extensión de la interconexión del sistema (particularmente las redes públicas).
  • Desactivación del medio de registro.

12.4.1 Registros de Eventos

  • Se deben producir y mantener registros de auditoría de las actividades, excepciones y eventos de seguridad de la información durante un período acordado para ayudar en investigaciones futuras y monitorear el control de acceso.
  • El Área de Sistemas debe determinar los eventos que generarán registros de auditoría en los recursos tecnológicos y los sistemas de información de SiCredit.
  • El Área de Sistemas debe realizar una revisión de logs y debe definir de manera mensual cuáles monitoreos se realizarán de los registros de auditoria sobre los aplicativos donde se opera los procesos misionales de la Organización. Así mismo, se deben analizar los resultados de cada monitoreo efectuado.
  • El Área de Sistemas debe habilitar los registros de auditoría y sistemas de monitoreo de la plataforma tecnológica administrada, acorde con los eventos a auditar establecidos.
  • El Área de Sistemas debe certificar la integridad y disponibilidad de los registros de auditoria generados en la plataforma tecnológica y los sistemas de información de SiCredit. Estos registros deben ser almacenados y solo deben ser accedidos por personal autorizado.
  • El Área de Sistemas debe determinar los periodos de retención de los registros (logs) de auditoria de los recursos tecnológicos y los sistemas de información de la Organización.
  • El Área de Sistemas debe revisar periódicamente los registros de auditoria de la plataforma tecnológica y los sistemas de información con el fin de identificar brechas de seguridad y otras actividades propias del monitoreo.
  • Los desarrolladores deben generar registros (logs) de auditoría de las actividades realizadas por los usuarios finales y administradores en los sistemas de información desarrollados. Se deben utilizar controles de integridad sobre dichos registros.
  • Los desarrolladores deben registrar en los logs de auditoría eventos como: fallas de validación, intentos de autenticación fallidos y exitosos, fallas en los controles de acceso, intento de evasión de controles, excepciones de los sistemas, funciones administrativas y cambios de configuración de seguridad, entre otros, de acuerdo con las directrices establecidas por El Área de Sistemas.
  • Los desarrolladores deben evitar almacenar datos innecesarios de los sistemas construidos en los logs de auditoria que brinden información adicional a la estrictamente requerida.

Los registros de eventos deberán incluir los siguientes puntos:

  • Utilizar IDs.
  • Fechas, horas y detalles de eventos claves; por ejemplo, ingreso y salida.
  • Identidad o ubicación de la identidad, si es posible.
  • Registros de intentos de acceso fallidos y rechazados al sistema.
  • Registros de intentos de acceso fallidos y rechazados a la información y otros recursos.
  • Cambios en la configuración del sistema.
  • Uso de privilegios.
  • Uso de las utilidades y aplicaciones del sistema.
  • Archivos a los cuales se tuvo acceso y los tipos de acceso.
  • Direcciones y protocolos de la red.
  • Alarmas activadas por el sistema de control de acceso.
  • Activación y desactivación de los sistemas de protección; como sistemas anti-virus y sistemas de detección de intrusiones.
  • Los registros de auditoría pueden contener información personal confidencial. Se deben mantener las medidas de protección de privacidad apropiadas. Cuando sea posible, los administradores del sistema no deben tener permiso para borrar o desactivar los registros de sus propias actividades.

12.4.2 Protección de la Información de Registros

  • Se deben proteger los medios de registro y la información del registro para evitar la alteración y el acceso no autorizado.
  • Se debe necesita proteger los registros del sistema, porque si el dato puede ser modificado o se puede borrar en ellos, su existencia puede crear un falso sentido de seguridad.

Los controles deben tener el objetivo de proteger contra cambios no autorizados y problemas operacionales, y el medio de registro debe incluir:

  • Las alteraciones registradas a los tipos de mensajes.
  • Los archivos de registro que se editan o borran.
  • Capacidad de almacenamiento del medio de archivos de registro que se está excediendo, resultando en una falla en el registro de eventos o la escritura encima de los eventos registrados en el pasado.

12.4.3 Registros de Operadores y Administradores

  • Se deben registrar las actividades del administrador del sistema y el operador del sistema.
  • Los registros de administrador y operador del sistema deben ser revisados de manera regular.
  • Los registros deben incluir:

a) La hora en la cual ocurre un evento (éxito o falla).

b) La información sobre el evento (por ejemplo, archivos manejados) o falla (por ejemplo, el error ocurrido y la acción correctiva).

c) Cuál cuenta y cuál operador o administrador está involucrado.

d) Cuáles procesos están involucrados.

12.4.4 Sincronización de Relojes

  • Los relojes de todos los sistemas de procesamiento de información relevantes dentro de la Organización o dominio de seguridad se deben sincronizar con una fuente que proporcione la hora exacta acordada.
  • Cuando una computadora o dispositivo de comunicaciones tiene la capacidad para operar un reloj de tiempo-real, este reloj debiera ser puesto a la hora de acuerdo a un estándar acordado; por ejemplo, el Tiempo Universal Coordinado (UTC) o la hora estándar local. Ya que algunos relojes se atrasan o adelantan a lo largo del tiempo, debe existir un procedimiento que los chequee y corrija cualquier variación significativa.
  • La correcta interpretación de un formato fecha/hora es importante para asegurar que el sello de fecha/hora refleje la fecha/hora real. Se debieran tomar en cuenta las especificaciones locales (por ejemplo, ahorro por luz solar).

12.4.5 Envío de alertas por detección de intrusos

  • Se deberá tener un equipo que permita la detección (IDS) y bloqueo de intrusos (IPS), con capacidad de alertar los intentos de acceso no autorizado.
  • El equipo de protección de red (Firewall) deberá de realizar un registro a nivel log y envío de alertas de manera inmediata a los responsables de la seguridad y supervisión de la red local de SICREDIT
  • La correcta interpretación de un formato fecha/hora es importante para asegurar que el sello de fecha/hora refleje la fecha/hora real. Se debieran tomar en cuenta las especificaciones locales (por ejemplo, ahorro por luz solar).
  • El envío de alertas deberá configurarse en nivel crítico en el equipo encargado de la seguridad de la red para asegurar el envío inmediato y la visualización del ataque
  • Los eventos a registrar y alertar deberán contemplar el bloqueo de ataques realizado por el sistema IPS
  • Los registros deberán contener un nivel de criticidad de acuerdo al tipo de ataque a la red de SICREDIT
  • Se deberá tener actualizada la base de firmas IPS ya que la detección se basa en una base de conocimientos de ataques.

12.5 Control de Software Operativo

  • En SiCredit, a través del Área de Sistemas, designará responsables y establecerá procedimientos para controlar la instalación de software operativo, se cerciorará de contar con el soporte de los proveedores de dicho software y asegurará la funcionalidad de los sistemas de información que operan sobre la plataforma tecnológica cuando el software operativo es actualizado.
  • El Área de Sistemas debe establecer responsabilidades y procedimientos para controlar la instalación del software operativo, que interactúen con el procedimiento de control de cambios existente en la Organización.
  • El Área de Sistemas debe asegurarse que el software operativo instalado en la plataforma tecnológica de SiCredit cuenta con soporte de los proveedores.
  • El Área de Sistemas debe conceder accesos temporales y controlados a los proveedores para realizar las actualizaciones sobre el software operativo, así como monitorear dichas actualizaciones.
  • El Área de Sistemas debe validar los riesgos que genera la migración hacia nuevas versiones del software operativo. Se debe asegurar el correcto funcionamiento de sistemas de información y herramientas de software que se ejecutan sobre la plataforma tecnológica cuando el software operativo es actualizado.
  • El Área de Sistemas debe establecer las restricciones y limitaciones para la instalación de software operativo en los equipos de cómputo de la Organización

12.5 Instalación de Software en Sistemas Operativos

  • El Área de Sistemas deberá realizar todas las pruebas necesarias de cualquier Software nuevo adquirido por la Organización, antes de su instalación.
  • El Área de Sistemas deberá asegurarse que todo el Software nuevo adquirido por la Organización cuente con su licencia correspondiente.

12.6 Gestión de Vulnerabilidades Técnicas

En SiCredit, a través del Área de Sistemas revisará periódicamente la aparición de vulnerabilidades técnicas sobre los recursos de la plataforma tecnológica por medio de la realización periódica de pruebas de vulnerabilidades, con el objetivo de realizar la corrección sobre los hallazgos arrojados por dichas pruebas. Esta encargado de revisar, valorar y gestionar las vulnerabilidades técnicas encontradas.

12.6.1 Gestión de Vulnerabilidades Técnicas

  • Se debe realizar de pruebas de vulnerabilidades y hacking ético con una periodicidad establecida, por un ente independiente al área objeto de las pruebas, con el fin de garantizar la objetividad del desarrollo de las mismas.
  • Se debe generar los lineamientos y recomendaciones para la mitigación de vulnerabilidades, resultado de las pruebas de vulnerabilidades y hacking ético.
  • El Área de Sistemas debe revisar periódicamente la aparición de nuevas vulnerabilidades técnicas y reportarlas a los administradores de la plataforma tecnológica y los desarrolladores de los sistemas de información, con el fin de prevenir la exposición al riesgo de estos.
  • El Área de Sistemas, a través de sus funcionarios, debe generar y ejecutar o monitorear planes de acción para la mitigación de las vulnerabilidades técnicas detectadas en la plataforma tecnológica.
  • El Área de Sistemas deben revisar, valorar y gestionar las vulnerabilidades técnicas encontradas, apoyándose en herramientas tecnológicas para su identificación.

12.6.2 Restricción en Instalación de Software

  • El Área de Sistemas es la única autorizada para realizar la instalación de cualquier tipo de Software en la Organización.
  • El Área de Sistemas deberá validar que la organización cuente con el número de licencias a instalar.
  • El Área de Sistemas debe validar que la capacidad del equipo cumpla con los requisitos mínimos para la instalación del software.

12.7 Consideraciones de Auditoria de Sistemas de Información

  • Se deberá optimizar la eficacia del proceso de auditoría de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.

12.7.1 Controles de Auditoria de Sistemas de Información

Se deberá planear y detallar todas las auditorías a los diferentes sistemas de información de la Organización, indicando el alcance, objetivo, etc. con base en el Procedimiento Integral de Auditorías Internas.

A. 13 Seguridad En Las Comunicaciones

13.1 Gestión de la Seguridad en Redes

SiCredit establecerá, a través del Área de Sistemas, los mecanismos de control necesarios para proveer la disponibilidad de las redes de datos y de los servicios que dependen de ellas; así mismo, velará por que se cuente con los mecanismos de seguridad que protejan la integridad y la confidencialidad de la información que se transporta a través de dichas redes de datos.

De igual manera, propenderá por el aseguramiento de las redes de datos, el control del tráfico en dichas redes y la protección de la información reservada y restringida de la Organización.

  • El Área de Sistemas debe adoptar medidas para asegurar la disponibilidad de los recursos y servicios de red de SiCredit.
  • El Área de Sistemas debe implantar controles para minimizar los riesgos de seguridad de la información transportada por medio de las redes de datos.
  • El Área de Sistemas debe mantener las redes de datos segmentadas por dominios, grupos de servicios, grupos de usuarios, ubicación geográfica o cualquier otra tipificación que se considere conveniente para la Organización.
  • El Área de Sistemas debe identificar los mecanismos de seguridad y los niveles de servicio de red requeridos e incluirlos en los acuerdos de servicios de red, cuando estos se contraten externamente.
  • El Área de Sistemas debe establecer los estándares técnicos de configuración de los dispositivos de seguridad y de red de la plataforma tecnológica de la Organización, acogiendo buenas prácticas de configuración segura.
  • El Área de Sistemas debe identificar, justificar y documentar los servicios, protocolos y puertos permitidos por la Organización en sus redes de datos e inhabilitar o eliminar el resto de los servicios, protocolos y puertos.
  • El Área de Sistemas debe instalar protección entre las redes internas de SiCredit y cualquier red externa, que este fuera de la capacidad de control y administración de la Organización.
  • El Área de Sistemas debe velar por la confidencialidad de la información del direccionamiento y el enrutamiento de las redes de datos de SiCredit.

13.1.1 Controles en Redes

  • Las redes deben ser adecuadamente manejadas y controladas para poder proteger la información y mantener la seguridad de los sistemas y aplicaciones, incluyendo la información en tránsito.
  • El Área de Sistemas debe implementar controles para asegurar la seguridad de la información en las redes, y proteger los servicios conectados de accesos no-autorizados. En particular, se deben considerar los siguientes puntos:

a) Cuando sea apropiado, la responsabilidad operacional para las redes se debe separar de las operaciones de cómputo.

Se deben establecer las responsabilidades y procedimientos para la gestión del equipo remoto, incluyendo el equipo en las áreas del usuario.

Se deben establecer controles especiales para salvaguardar la confidencialidad y la integridad de la información que pasa a través de las redes públicas o a través de las redes inalámbricas, también se pueden requerir controles especiales para mantener la disponibilidad de los servicios de la red y las computadoras conectadas.

Se deben aplicar registros de ingreso y monitoreo apropiados para permitir el registro de las acciones de seguridad relevantes.

Las actividades de gestión deben estar estrechamente coordinadas para optimizar el servicio a la organización y para asegurar que los controles sean aplicados consistentemente a través de la infraestructura de procesamiento de la información.

13.1.2 Seguridad en Servicios de Redes

  • En todo contrato de redes se deben identificar e incluir las características de seguridad, niveles de servicio y requerimientos de gestión de todos los servicios de red, ya sea que estos servicios sean provistos interna o externamente.
  • Se debe determinar y monitorear regularmente la capacidad del proveedor del servicio de red para manejar los servicios contratados de una manera segura, y se debe acordar el derecho de auditoría.
  • Se deben identificar los acuerdos de seguridad necesarios para servicios particulares; como las características de seguridad, niveles de servicio y requerimientos de gestión. La Organización se debe asegurar que los proveedores de servicio de red implementen estas medidas.
  • Los servicios de red incluyen la provisión de conexiones, servicios de redes privadas, redes de valor agregado y soluciones de seguridad de red manejadas como firewalls y sistemas de detección de intrusiones. Estos servicios pueden ir desde una simple banda ancha manejada u ofertas complejas de valor agregado.
  • Las características de seguridad de los servicios de red pueden ser:

La tecnología aplicada para la seguridad de los servicios de red; como controles de autenticación, codificación y conexión de red.

Parámetros técnicos requeridos para una conexión segura con los servicios de red en concordancia con las reglas de seguridad y conexión de red.

Cuando sea necesario, procedimientos para la utilización del servicio de red para restringir el acceso a los servicios de red o aplicaciones.

13.1.3 Segregación de Redes

  • El Área de sistemas deberá gestionar las direcciones Ip de los equipos de toda la Organización en grupos de acuerdo a las diferentes Áreas con base en la Matriz de Facultades.

13.2 Gestión de la Seguridad en Redes

  • Se debe asegurar la protección de la información en redes y la protección de la infraestructura de soporte.
  • La gestión segura de las redes, la cual puede abarcar los límites organizacionales, requiere de la cuidadosa consideración del flujo de datos, implicancias legales, monitoreo y protección.
  • También se pueden requerir controles adicionales para proteger la información confidencial que pasa a través de redes públicas.

13.2.1 Políticas y Procedimientos en Transferencia de Información

SiCredit asegurará la protección de la información en el momento de ser transferida o intercambiada con otras Entidades y establecerá los procedimientos y controles necesarios para el intercambio de información; así mismo, se establecerán Acuerdos de Confidencialidad y/o de Intercambio de Información con las terceras partes con quienes se realice dicho intercambio. La Organización se inclinara por el uso de tecnologías informáticas y de telecomunicaciones para llevar a cabo el intercambio de información; sin embargo, establecerá directrices para el intercambio de información en medio físico.

  • El Área de Sistemas debe definir y establecer el procedimiento de intercambio de información con los diferentes terceros que, hacen parte de la operación de SiCredit, reciben o envían información de los empleados de la Organización, que contemple la utilización de medios de transmisión confiables y la adopción de controles, con el fin de proteger la confidencialidad e integridad de la misma.
  • El Área de Sistemas debe velar porque el intercambio de información de SiCredit con Entidades externas se realice en cumplimiento de las Políticas de seguridad de la Información para el intercambio de información aquí descritas, los Acuerdos de Intercambio de Información y el procedimiento definido para dicho intercambio de información.
  • El Área de Sistemas debe autorizar el establecimiento del vínculo de transmisión de información con terceras partes, para que posteriormente las áreas funcionales realicen las actividades de transmisión requeridas en cada caso.
  • El Área de Sistemas debe ofrecer servicios o herramientas de intercambio de información seguros, así como adoptar controles como el cifrado de información, que permitan el cumplimiento del procedimiento para el intercambio de información (digital o medio magnético), con el fin de proteger dicha información contra divulgación o modificaciones no autorizadas
  • Los propietarios de los activos de información deben velar porque la información de SiCredit o de sus beneficiarios sea protegida de divulgación no autorizada por parte de los terceros a quienes se entrega esta información, verificando el cumplimiento de las clausulas relacionadas en los contratos, Acuerdos de confidencialidad o Acuerdos de intercambio establecidos.
  • Los propietarios de los activos de información deben asegurar que los datos requeridos de los beneficiarios sólo puedan ser entregada a terceros, previo consentimiento de los titulares de los mismos, salvo en los casos que lo disponga una ley o sea una solicitud de los entes de control.
  • Los propietarios de los activos de información, o a quien ellos deleguen, deben verificar que el intercambio de información con terceros deje registro del tipo de información intercambiada, el emisor y receptor de la misma y la fecha de entrega/recepción.
  • Los propietarios de los activos de información deben autorizar los requerimientos de solicitud/envío de información de SiCredit por/a terceras partes, salvo que se trate de solicitudes de entes de control o de cumplimiento de la legislación vigente.
  • Los propietarios de los activos de información deben asegurarse que el Intercambio de información (digital) solamente se realice si se encuentra autorizada y dando cumplimiento a las Políticas de Gestión de seguridad de redes, de acceso lógico y de protección de datos personales de SiCredit así como del procedimiento de intercambio de información.
  • Los terceros con quienes se intercambia información de Sicredit deben darle manejo adecuado a la información recibida, en cumplimiento de las Políticas de seguridad de la Información de la Organización, de las condiciones contractuales establecidas y del Procedimiento de intercambio de información.
  • Los terceros con quienes se intercambia información de la Organización deben destruir de manera segura la información suministrada, una vez esta cumpla con la función para la cual fue enviada y demostrar la realización de las actividades de destrucción.
  • Los usuarios no deben utilizar el correo electrónico como medio para enviar o recibir información sensible de la Organización.
  • No está permitido el intercambio de información sensible de la Organización por vía telefónica.

13.2.2 Acuerdos de Transferencia de Información

El acuerdo de intercambio de información debe considerar las siguientes condiciones de seguridad:

  • Manejo de las responsabilidades para el control y notificación de la transmisión, despacho y recepción.
  • Procedimientos para notificar al remitente de la transmisión, despacho y recepción.
  • Procedimientos para asegurar el rastreo y no-repudio.
  • Estándares técnicos mínimos para el empaque y la transmisión.
  • Acuerdos de depósitos.
  • Estándares de identificación del mensajero.
  • Responsabilidades y obligaciones en el evento de incidentes de seguridad de la información, como la pérdida de la información.
  • Uso de un sistema de etiquetado acordado para la información confidencial o crítica, asegurando que el significado de las etiquetas sea entendido inmediatamente y que la información sea adecuadamente protegida.
  • Propiedad y responsabilidades de la protección de la información, derechos de autor, licencias de software y consideraciones similares.
  • Estándares técnicos para grabar y leer la información y software.
  • Cualquier control especial que se pueda requerir para proteger los ítems confidenciales, como claves criptográficas.
  • Se deben establecer y mantener las Políticas, procedimientos y estándares para proteger la información y medios físicos en tránsito, y se debe hacer referencia en los acuerdos de intercambio.
  • El contenido de seguridad de cualquier acuerdo debe reflejar la sensibilidad de la información comercial involucrada.
  • Los acuerdos pueden ser electrónicos o manuales, y pueden tomar la forma de contratos formales o condiciones de empleo. Para la información sensible, los mecanismos específicos utilizados para el intercambio de dicha información deben ser consistente para todas las organizaciones y tipos de acuerdos.

13.2.3 Mensajería Electrónica

SiCredit, entendiendo la importancia del correo electrónico como herramienta para facilitar la comunicación entre empleados y terceras partes, proporcionará un servicio idóneo y seguro para la ejecución de las actividades que requieran el uso del correo electrónico, respetando siempre los principios de confidencialidad, integridad, disponibilidad y autenticidad de quienes realizan las comunicaciones a través de este medio.

  • El Área de Sistemas debe generar y divulgar un procedimiento para la administración de cuentas de correo electrónico.
  • El Área de Sistemas debe diseñar y divulgar las directrices técnicas para el uso de los servicios de correo electrónico.
  • El Área de Sistemas debe proveer un ambiente seguro y controlado para el funcionamiento de la plataforma de correo electrónico.
  • El Área de Sistemas debe establecer procedimientos e implantar controles que permitan detectar y proteger la plataforma de correo electrónico contra código malicioso que pudiera ser transmitido a través de los mensajes.
  • El Área de Sistemas debe generar campañas para concientizar tanto a empleados internos, como al personal provisto por terceras partes, respecto a las precauciones que deben adoptar en el intercambio de información sensible por medio del correo electrónico.
  • La cuenta de correo electrónico asignada es de carácter individual; por consiguiente, ningún empleado de la Organización o provisto por un tercero, bajo ninguna circunstancia debe utilizar una cuenta de correo que no sea la suya.
  • Los mensajes y la información contenida en los correos electrónicos deben ser relacionados con el desarrollo de las labores y funciones de cada usuario en apoyo al objetivo misional de SiCredit. El correo institucional no debe ser utilizado para actividades personales
  • Los mensajes y la información contenida en los buzones de correo son propiedad de SiCredit y cada usuario, como responsable de su buzón, debe mantener solamente los mensajes relacionados con el desarrollo de sus funciones con base en las especificaciones de servicio de cada producto.
  • Los usuarios de correo electrónico institucional tienen prohibido él envió de cadenas de mensajes de cualquier tipo, ya sea comercial, político, religioso, material audiovisual, contenido discriminatorio, pornografía y demás condiciones que degraden la condición humana y resulten ofensivas para empleados de la Organización y el personal provisto por terceras partes.
  • No es permitido el envío de archivos que contengan extensiones ejecutables, bajo ninguna circunstancia.
  • Todos los mensajes enviados deben respetar el formato e imagen corporativa definidos por SiCredit y deben conservar en todos los casos el mensaje legal corporativo de confidencialidad.
  • Se debe proteger los mensajes del acceso no-autorizado, modificación o negación del servicio.
  • Se debe asegurar la correcta dirección y transporte del mensaje.

13.2.4 Acuerdos de Confidencialidad y de no Divulgación

Todos los usuarios de los servicios de información de la organización deberán cumplir con la Política de Protección de Datos y Privacidad de Información Personal de este documento, para poder contar con acceso a la información.

A.14 Adquisición, Desarrollo Y Mantenimiento De Sistemas De Información

SiCredit asegurará que el software adquirido y desarrollado tanto al interior de la Organización, como por terceras partes, cumplirá con los requisitos de seguridad y calidad establecidos por la Organización. Las áreas propietarias de sistemas de información y el Área de Sistemas incluirán requisitos de seguridad en la definición de requerimientos y posteriormente se asegurarán que estos se encuentren generados a cabalidad durante las pruebas realizadas sobre los desarrollos del software construido.

14.1 Requerimientos de Seguridad para Sistemas de Información

  • Se debe definir un procedimiento para que durante las etapas de análisis y diseño del sistema, se incorporen a los requerimientos, los correspondientes controles de seguridad. Este procedimiento debería incluir una etapa de evaluación de riesgos previa al diseño, para definir los requerimientos de seguridad e identificar los controles apropiados. En esta tarea deben participar las áreas usuarias, de Sistemas y Comité Integral, especificando y aprobando los controles automáticos a incorporar al sistema y las necesidades de controles manuales complementarios. Las áreas involucradas podrán solicitar certificaciones y evaluaciones independientes para los productos a utilizar.
  • Se deben evaluar los requerimientos de seguridad y los controles requeridos, teniendo en cuenta que éstos deberán ser proporcionales en costo y esfuerzo al valor del bien que se quiere proteger y al daño potencial que pudiera ocasionar a las actividades realizadas.
  • Se deberán considerar que los controles introducidos en la etapa de diseño, deberían ser significativamente menos costosos de implementar y mantener que aquellos incluidos durante o después de la implementación.
  • El Área de Sistemas debe establecer las especificaciones de adquisición o desarrollo de sistemas de información, considerando requerimientos de seguridad de la información.

14.1.1 Requerimientos, Análisis y Especificaciones de Requisitos de Seguridad

  • Todos los sistemas de información o desarrollos de software deben tener un área propietaria dentro de la Organización formalmente asignada.

14.1.2 Seguridad en la Aplicación de Servicios en Redes Públicas

  • El Área de Sistemas deberá asegurarse del correcto funcionamiento del certificado de seguridad, para los sistemas de información de la Organización que cuentan con acceso a través de internet, para brindar el envío y recepción de información de manera segura.

14.1.3 Protección de Aplicaciones en servicios Transaccionales

  • Los desarrolladores deben deshabilitar las funcionalidades de completar automáticamente en formularios de solicitud de datos que requieran información sensible.
  • Los desarrolladores deben establecer el tiempo de duración de las sesiones activas de las aplicaciones, terminándolas una vez se cumpla este tiempo.
  • Los desarrolladores deben asegurar que no se permitan conexiones recurrentes a los sistemas de información construidos con el mismo usuario.
  • Los desarrolladores deben suministrar opciones de desconexión o cierre de sesión de los aplicativos (logout) que permitan terminar completamente con la sesión o conexión asociada, las cuales deben encontrarse disponibles en todas las aplicaciones protegidas por autenticación.
  • Los desarrolladores deben asegurar el manejo de operaciones sensibles o críticas en los aplicativos desarrollados.
  • Los desarrolladores deben asegurar que los aplicativos proporcionen la mínima información de la sesión establecida, almacenada en cookies y complementos, entre otros.
  • Los desarrolladores deben garantizar que no se divulgue información sensible en respuestas de error, incluyendo detalles del sistema, identificadores de sesión o información de las cuentas de usuarios; así mismo, deben implementar mensajes de error genéricos.
  • Los desarrolladores deben remover información innecesaria en los encabezados de respuesta que se refieran a los sistemas operativos y versiones del software utilizado.
  • Los desarrolladores deben certificar el cierre de la conexión a las bases de datos desde los aplicativos tan pronto como estas no sean requeridas.
  • Los desarrolladores deben desarrollar los controles necesarios para la transferencia de archivos, como exigir autenticación, vigilar los tipos de archivos a transmitir, almacenar los archivos transferidos en repositorios destinados para este fin o en bases de datos, eliminar privilegios de ejecución a los archivos transferidos y asegurar que dichos archivos solo tengan privilegios de lectura.

14.2. Seguridad en el Desarrollo y Procesos de Soporte

  • Se deben verificar que los cambios sean propuestos por usuarios autorizados y se respeten los términos y condiciones de uso.
  • Se debe mantener un registro de los niveles de autorización acordados.
  • Se debe solicitar la autorización del Propietario de la Información, en caso de tratarse de cambios a sistemas de procesamiento de la misma.
  • Se debe identificar todos los elementos que requieren modificaciones (software, bases de datos, hardware).
  • Se deben revisar los controles y los procedimientos de integridad para garantizar que no serán comprometidos por los cambios.
  • Se debe obtener aprobación formal por parte de la Dirección de Operaciones para las tareas detalladas, antes de realizar los cambios.
  • Se debe solicitar la revisión del Área de Sistemas para garantizar que no se violen los requerimientos de seguridad que debe cumplir el software.
  • Se deben efectuar las actividades relativas al cambio en el ambiente de desarrollo.
  • Se debe obtener la aprobación por parte del usuario autorizado mediante pruebas en el ambiente correspondiente.
  • Se debe actualizar la documentación para cada cambio implementado.
  • Se debe mantener un control de versiones para todas las actualizaciones de software.
  • Se debe garantizar que la implementación se llevará a cabo minimizando la discontinuidad de las actividades y sin alterar los procesos involucrados.
  • Se debe informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar su operación.
  • Se debe garantizar que sea el Área de Sistemas quien efectúe los cambios de los objetos modificados al ambiente operativo.
  • Se debe revisar los procedimientos de integridad y control de aplicaciones para garantizar que no hayan sido comprometidas por el cambio.
  • Se debe garantizar que los cambios en el sistema operativo sean informados con anterioridad a la implementación.
  • Se debe asegurar la actualización del Plan de Continuidad del Negocio de la Organización.
  • Se debe otorgar autorización, por parte de la Dirección de Operaciones, previa a la modificación de paquetes de software suministrado por proveedores.
  • Se debe determinar la conveniencia de que la modificación sea efectuada por la Organización, por el proveedor o por un tercero.
  • Se debe evaluar el impacto que se produce si la Organización se hace cargo del mantenimiento.
  • Se debe retener el software original realizando los cambios sobre una copia perfectamente identificada, documentando exhaustivamente por si fuera necesario aplicarlo a nuevas versiones.
  • Se debe adquirir programas a proveedores acreditados o productos ya evaluados.
  • Se debe examinar los códigos fuentes (cuando sea posible) antes de utilizar los programas.
  • Se debe controlar el acceso y las modificaciones al código instalado.
  • Se deben utilizar herramientas para la protección contra la infección del software con código malicioso.
  • Se deben tener acuerdos de licencias, propiedad de código y derechos conferidos.
  • Estos medios de desarrollo y prueba, deben estar separados para reducir los riegos de acceso que no están autorizados o evitar cambios en el sistema operacional.
  • Se debe identificar el nivel de separación necesario entre los ambientes de desarrollo así para evitar los problemas operacionales e implementar controles apropiados.
  • Las actividades de desarrollo y prueba suelen ser problemas serios, por ejemplo: Modificación no deseada, Falla en el sistema.
  • Cuando el personal de desarrollo y prueba tiene acceso al sistema operacional de la información, ellos pueden introducir un código no autorizado o no probado o también pueden alterar la data de la información.
  • Algunas veces estos cometen fraudes o modificaciones lo cual puede causar serios problemas operacionales.
  • Los encargados del desarrollo y pruebas pueden ser una potencial amenaza. Por lo tanto es deseable separa los medios de desarrollo, y los medios de prueba para reducir el riesgo de un cambio accidental o no autorizado al software operación del negocio.
  • El Área de Sistemas debe proveer los recursos necesarios para la implantación de controles que permitan la separación de ambientes de desarrollo, pruebas y producción, teniendo en cuenta consideraciones como: controles para el intercambio de información entre los ambientes de desarrollo y producción, la inexistencia de compiladores, editores o fuentes en los ambientes de producción y un acceso diferente para cada uno de los ambientes.

14.2.1 Política de Seguridad en el Desarrollo

  • El Área de Sistemas debe liderar la definición de requerimientos de seguridad de los sistemas de información, teniendo en cuenta aspectos como la estandarización de herramientas de desarrollo, controles de autenticación, controles de acceso y arquitectura de aplicaciones, entre otros.
  • Los desarrolladores de los sistemas de información deben considerar las buenas prácticas y lineamientos de desarrollo seguro durante el ciclo de vida de los mismos, pasando desde el diseño hasta la puesta en marcha.
  • Los desarrolladores deben documentar los requerimientos establecidos y definir la arquitectura de software más conveniente para cada sistema de información que se quiera desarrollar, de acuerdo con los requerimientos de seguridad y los controles deseados.

14.2.2 Procedimientos para el Sistema de Control de Cambios

  • El Área de Sistemas debe contar con sistemas de control de versiones para administrar los cambios de los sistemas de información del SiCredit.
  • El Área de Sistemas debe incluir dentro del procedimiento y los controles de gestión de cambios el manejo de los cambios en el software aplicativo y los sistemas de información de la Organización.

14.2.3 Revisiones Técnicas de Aplicaciones Después de Cambios en Plataformas operativas

  • Los desarrolladores deben proporcionar un nivel adecuado de soporte para solucionar los problemas que se presenten en el software aplicativo del SiCredit; dicho soporte debe contemplar tiempos de respuesta aceptables.

14.2.4 Restricciones sobre cambios a Paquetes de Software

  • Los desarrolladores deben certificar que todo sistema de información adquirido o desarrollado utilice herramientas de desarrollo licenciadas y reconocidas en el mercado.

14.2.5 Principio de Seguridad en Sistemas de Ingeniería

  • Los desarrolladores deben utilizar usar los protocolos sugeridos por El Área de Sistemas en los aplicativos desarrollados.

14.2.6 Ambiente Seguro de Desarrollo

  • El Área de Sistemas debe establecer metodologías para el desarrollo de software, que incluyan la definición de requerimientos de seguridad y las buenas prácticas de desarrollo seguro, con el fin de proporcionar a los desarrolladores una visión clara de lo que se espera.
  • El Área de Sistemas, a través de sus empleados, se debe asegurar que la plataforma tecnológica, las herramientas de desarrollo y los componentes de cada sistema de información estén actualizados con todos los parches generados para las versiones en uso y que estén ejecutando la última versión aprobada del sistema.
  • Los desarrolladores deben prevenir la revelación de la estructura de directorios de los sistemas de información construidos.
  • Los desarrolladores deben evitar incluir las cadenas de conexión a las bases de datos en el código de los aplicativos. Dichas cadenas de conexión deben estar en archivos de configuración independientes, los cuales se recomienda que estén cifrados.
  • Los desarrolladores deben proteger el código fuente de los aplicativos construidos, de tal forma de que no pueda ser descargado ni modificado por los usuarios.
  • Los desarrolladores deben asegurar que no se permite que los aplicativos desarrollados ejecuten comandos directamente en el sistema operativo.

14.2.7 Desarrollos Subcontratados

  • El Área de Sistemas debe asegurase que los sistemas de información adquiridos o desarrollados por terceros, cuenten con un acuerdo de licenciamiento el cual debe especificar las condiciones de uso del software y los derechos de propiedad intelectual.

14.2.8 Pruebas en el Sistema de Seguridad

  • Se debe realizar una validación de Datos de Entrada a los sistemas de información considerando los siguientes controles:

- Control de secuencia.

- Control de monto límite por operación y tipo de usuario.

- Control del rango de valores posibles y de su validez, de acuerdo a criterios predeterminados. Control contra valores cargados en las tablas de datos.

- Controles por oposición, de forma tal que quien ingrese un dato no pueda autorizarlo y viceversa.

  • Por otra parte, se deben llevar a cabo las siguientes acciones:

- Definir un procedimiento para realizar revisiones periódicas de contenidos de campos claves, definiendo quién lo realizará, en qué forma, con qué método, quiénes deben ser informados del resultado, etc.

  • - Definir un procedimiento que explicite las alternativas a seguir para responder a errores de validación en un aplicativo.

  • - Definir un procedimiento que permita determinar las responsabilidades de todo el personal involucrado en el proceso de entrada de datos.

  • Cuando una aplicación tenga previsto el envío de mensajes que contengan información clasificada, se deberán implementar controles criptográficos.
  • Se deben establecer procedimientos para validar la salida de los datos de las aplicaciones, incluyendo:

- Comprobaciones de la razonabilidad para probar si los datos de salida son válidos.

- Control de conciliación de cuentas para asegurar el procesamiento de todos los datos.

- Provisión de información suficiente, para que el lector o sistema de procesamiento sub- siguiente determine la exactitud, totalidad, precisión y clasificación de la información.

- Procedimientos para responder a las pruebas de validación de salidas.

  • - Definición de las responsabilidades de todo el personal involucrado en el proceso de salida de datos.

  • El Área de Sistemas debe implantar los controles necesarios para asegurar que las migraciones entre los ambientes de desarrollo, pruebas y producción han sido aprobadas, de acuerdo con el procedimiento de control de cambios.

14.2.9 Pruebas para Aceptación del Sistemas

  • Se debe establecer el criterio de aceptación de los sistemas de información nuevos, actualizaciones o versiones nuevas y se deben realizar pruebas adecuadas del sistema(s) durante el desarrollo y antes de su aceptación.
  • SiCredit velará porque el desarrollo interno o externo de los sistemas de información cumpla con los requerimientos de seguridad esperados, con las buenas prácticas para desarrollo seguro de aplicativos, así como con metodologías para la realización de pruebas de aceptación y seguridad al software desarrollado. Además, se asegurará que todo software desarrollado o adquirido, interna o externamente cuenta con el nivel de soporte requerido por la Organización.
  • Los propietarios de los sistemas de información son responsables de realizar las pruebas para asegurar que cumplen con los requerimientos de seguridad establecidos antes del paso a producción de los sistemas, utilizando metodologías establecidas para este fin, documentado las pruebas realizadas y aprobando los pasos a producción. Estas pruebas deben realizarse por entrega de funcionalidades nuevas, por ajustes de funcionalidad o por cambios sobre la plataforma tecnológica en la cual funcionan los aplicativos.
  • Los propietarios de los sistemas de información deben aprobar las migraciones entre los ambientes de desarrollo, pruebas y producción de sistemas de información nuevos y/o de cambios o nuevas funcionalidades.
  • El Área de Sistemas debe generar metodologías para la realización de pruebas al software desarrollado, que contengan pautas para la selección de escenarios, niveles, tipos, datos de pruebas y sugerencias de documentación.
  • Minimizar el riesgo de fallas en el sistema.
  • Se requiere de planeación y preparación anticipadas para asegurar la disponibilidad de la capacidad y los recursos adecuados para entregar el desempeño del sistema requerido.
  • Se deben realizar proyecciones de los requerimientos de la capacidad futura para reducir el riesgo de sobrecarga en el sistema.
  • Se deben establecer, documentar y probar los requerimientos operacionales de los sistemas nuevos antes de su aceptación y uso.
  • Los Coordinadores de Área se deben asegurar que los requerimientos y criterios de aceptación de los sistemas nuevos estén claramente definidos, aceptados, documentados y probados. Los sistemas de información nuevos, las actualizaciones y las versiones nuevas deben migrar a la producción después de obtener la aceptación formal.

a) Se deben considerar los siguientes puntos antes de proporcionar la aceptación formal:

  • El desempeño y los requerimientos de capacidad de la computadora.
  • Procedimientos para la recuperación tras errores y reinicio, y planes de contingencia.
  • Preparación y prueba de los procedimientos de operación rutinarios para estándares definidos.
  • El conjunto de controles de seguridad acordados y aceptados.
  • Procedimientos manuales efectivos.
  • Arreglos para la continuidad del negocio.
  • Evidencia que la instalación del sistema nuevo no afectará adversamente los sistemas existentes, particularmente en las horas picos del procesamiento, como fin de mes.
  • Evidencia que se está tomando en consideración el efecto que tiene el sistema nuevo en la seguridad general de la organización.
  • Capacitación para la operación o uso de los sistemas nuevos.
  • Facilidad de uso, ya que esto afecta el desempeño del usuario y evita el error humano.
  • Para los desarrollos nuevos importantes, la función de las operaciones y los usuarios deben ser consultados en todas las etapas del proceso del desarrollo para asegurar la eficiencia operacional del diseño del sistema propuesto. Se deben llevar a cabo las pruebas apropiadas para confirmar que se ha cumplido totalmente con el criterio de aceptación.
  • La aceptación puede incluir un proceso de certificación y acreditación formal para verificar que se hayan tratado apropiadamente los requerimientos de seguridad.

14.3 Datos de Pruebas

  • Los desarrolladores deben construir los aplicativos de tal manera que efectúen las validaciones de datos de entrada y la generación de los datos de salida de manera confiable, utilizando rutinas de validación centralizadas y estandarizadas.
  • Los desarrolladores deben asegurar que los sistemas de información construidos validen la información suministrada por los usuarios antes de procesarla, teniendo en cuenta aspectos como: tipos de datos, rangos válidos, longitud, listas de caracteres aceptados, caracteres considerados peligrosos y caracteres de alteración de rutas, entre otros.

14.3.1 Protección de Datos de Prueba

  • El Área de Sistemas debe definir qué información sensible puede ser eliminada de sus sistemas con base en la Política de Desecho de Medios, como es el caso de los datos personales o financieros, cuando estos ya no son requeridos.
  • Los desarrolladores deben remover todas las funcionalidades y archivos que no sean necesarios para los aplicativos, previo a la puesta en producción.
  • El Área de Sistemas de SiCredit protegerá los datos de prueba que se entregarán a los desarrolladores, asegurando que no revelan información confidencial de los ambientes de producción.
  • El Área de Sistemas debe certificar que la información a ser entregada a los desarrolladores para sus pruebas será enmascarada y no revelará información confidencial de los ambientes de producción.
  • El Área de Sistemas debe eliminar la información de los ambientes de pruebas, una vez estas han concluido.

A. 15 Relación Con Proveedores

15.1 Relación con Proveedores

SiCredit establecerá mecanismos de control en sus relaciones con proveedores, con el objetivo de asegurar que la información a la que tengan acceso o servicios que sean provistos por los mismos, cumplan con las Políticas, normas y procedimientos de seguridad de la información.

15.1.1 Políticas de Seguridad de la Información en Relaciones con Proveedores

  • El Área de Sistemas en conjunto con el Área de Compras deben generar un modelo base para los Acuerdos de Niveles de Servicio y requisitos de Seguridad de la Información, con los que deben cumplir terceras partes o proveedores de servicios; dicho modelo, debe ser divulgado a todas las áreas que adquieran o supervisen recursos y/o servicios tecnológicos.
  • El Área de Sistemas en conjunto con el Área de Compras deben elaborar modelos de Acuerdos de Confidencialidad y Acuerdos de Intercambio de Información con terceras partes. De dichos acuerdos deberá derivarse una responsabilidad tanto civil como penal para la tercera parte contratada.
  • El Área de Sistemas debe establecer las condiciones de conexión adecuada para los equipos de cómputo y dispositivos móviles de los terceros en la red de datos de la Organización.
  • El Área de Sistemas debe establecer las condiciones de comunicación segura, cifrado y transmisión de información desde y hacia los terceros proveedores de servicios.
  • El Área de Sistemas debe mitigar los riesgos relacionados con terceras partes que tengan acceso a los sistemas de información y la plataforma tecnológica del SiCredit.
  • El Área de Sistemas en conjunto con la Dirección de Operaciones debe evaluar y aprobar los accesos a la información de la Organización requeridos por terceras partes.
  • El Área de Sistemas en conjunto con el Área de Compras y el Comité Integral deben identificar y monitorear los riesgos relacionados con terceras partes o los servicios provistos por ellas, haciendo extensiva esta actividad a la cadena de suministro de los servicios de tecnología o comunicaciones provistos.
  • El Área de Compras debe divulgar las Políticas, normas y procedimientos de seguridad de la información de SiCredit a todos los proveedores, así como velar porque el acceso a la información y a los recursos de almacenamiento o procesamiento de la misma, por parte de los proveedores se realice de manera segura, de acuerdo con las Políticas, normas y procedimientos de seguridad de la información.

15.1.2 Acuerdos de Seguridad en Contratos con Proveedores

  • Los empleados responsables de la realización y/o firma de contratos o convenios con proveedores se asegurarán de la divulgación de las Políticas, normas y procedimientos de seguridad de la información a dichas partes.

15.1.3 Cadena de Suministro de Información y Comunicación

  • El Área de Compras deberá asegurarse que en el acuerdo con los proveedores incluya requisitos para tratar los riesgos de seguridad de la información asociados con la cadena de suministro de productos y servicios de tecnología de información y comunicación.

15.2 Gestión de Entrega de Servicios de Proveedores

  • El Área de Compras deberá asegurar los niveles acordados de seguridad de la información y de prestación de los servicios de los proveedores, en concordancia con los acuerdos establecidos con estos. Así mismo, velará por la adecuada gestión de cambios en la prestación de servicios de dichos proveedores.
  • Se debe Implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de proveedores. La Organización debe checar la implementación de los acuerdos, monitorear su cumplimiento con los estándares y manejar los cambios para asegurar que los servicios sean entregados para satisfacer todos los requerimientos acordados por el proveedor.
  • Se debe asegurar que los controles de seguridad, definiciones del servicio y niveles de entrega incluidos en el acuerdo de entrega del servicio de proveedores se implementen, operen y mantengan. La entrega del servicio por el proveedor deberá incluir los acuerdos de seguridad pactados, definiciones del servicio y aspectos de la gestión del servicio. En caso de los acuerdos de abastecimiento externo, la Organización debe planear las transiciones necesarias (de información, medios de procesamiento de la información y cualquier otra cosa que necesite transferirse), y debe asegurar que se mantenga la seguridad a través del período de transición.
  • La Organización debe asegurar que el proveedor mantenga una capacidad de servicio suficiente junto con los planes de trabajo diseñados para asegurar que se mantengan los niveles de continuidad del servicio después de fallas importantes en el servicio o un desastre.
  • El Área de Sistemas debe verificar en el momento de la conexión y, cuando se considere pertinente, el cumplimiento de las condiciones de conexión de los equipos de cómputo y dispositivos móviles de los terceros en la red de datos de la Organización.
  • El Área de Sistema debe verificar las condiciones de comunicación segura, cifrado y transmisión de información desde y hacia los terceros proveedores de servicios.
  • El Área de Compras debe monitorear periódicamente, el cumplimiento de los Acuerdos de Niveles de Servicio, Acuerdos de Confidencialidad, Acuerdos de Intercambio de información y los requisitos de Seguridad de la Información de parte de los terceros proveedores de servicios.
  • El Área de Compras debe administrar los cambios en el suministro de servicios por parte de los proveedores, manteniendo los niveles de cumplimiento de servicio y seguridad establecidos con ellos y monitoreando la aparición de nuevos riesgos.

15.2.1 Monitoreo y Revisión de Proveedores de Servicios

Los servicios, reportes y registros provistos por los proveedores deben ser monitoreados y revisados regularmente, y se debe llevar a cabo auditorías regularmente. El monitoreo y revisión de los servicios de proveedores debe asegurar que se cumplan los términos y condiciones de seguridad de los acuerdos, y que se manejen apropiadamente los incidentes y problemas de seguridad de la información. Esto debe involucrar una relación y proceso de gestión de servicio entre la Organización y el proveedor para:

  • Monitorear los niveles de desempeño del servicio para checar la adherencia con los acuerdos.
  • Revisar los reportes de servicio producidos por proveedores y acordar reuniones de avance regulares conforme lo requieran los acuerdos.
  • Proporcionar información sobre incidentes de seguridad de la información y la revisión de esta información por proveedores y la Organización conforme lo requieran los acuerdos y cualquier lineamiento y procedimiento de soporte.
  • Revisar los rastros de auditoría de proveedores y los registros de eventos de seguridad, problemas operacionales, fallas, el monitoreo de fallas e interrupciones relacionadas con el servicio entregado.
  • Resolver y manejar cualquier problema identificado.
  • La responsabilidad de manejar la relación con proveedores se debe asignar a una persona o equipo de gestión de servicios.
  • La Organización debe asegurar que los proveedores asignen responsabilidad para el chequeo del cumplimiento de los requerimientos de los acuerdos. Se deben poner a disposición las capacidades y recursos técnicos para monitorear los requerimientos del acuerdo, en particular si se cumplen los requerimientos de seguridad de la información.
  • Se debe tomar la acción apropiada cuando se observan deficiencias en la entrega del servicio. La Organización debe mantener el control y la visibilidad general suficiente en todos los aspectos de seguridad con relación a la información confidencial o crítica o los medios de procesamiento de la información que el proveedor ingresa, procesa o maneja. La Organización debe asegurarse de mantener visibilidad en las actividades de seguridad como la gestión del cambio, identificación de vulnerabilidades y reporte/respuesta de un incidente de seguridad a través de un proceso, formato y estructura de reporte definidos.
  • En caso de abastecimiento externo, la organización necesita estar al tanto que la responsabilidad final de la información procesada por un proveedor externo se mantenga en la organización.

15.2.2 Gestión de Cambios en proveedores de Servicios

Se deben manejar los cambios en la provisión de servicios, incluyendo el mantenimiento y mejoramiento de las Políticas, procedimientos y controles de seguridad de la información existentes teniendo en cuenta el grado crítico de los sistemas y procesos del negocio involucrados y la re-evaluación de los riesgos con base en la Tabla de Análisis de Riesgos.

En el proceso de manejar los cambios en el servicio de proveedores necesita tomar en cuenta:

a) Los cambios realizados por la Organización para implementar:

  • Aumentos los servicios ofrecidos actualmente.
  • Desarrollo de cualquier aplicación y sistema nuevo.
  • Modificaciones o actualizaciones de las Políticas y procedimientos de la Organización.
  • Controles nuevos para solucionar incidentes de la seguridad de la información.

b) Para mejorar la seguridad:

  • Cambios en los servicios de proveedores para implementar.
  • Cambios y mejoras en las redes.
  • Uso de tecnologías nuevas.
  • Adopción de productos nuevos o versiones más modernas.
  • Desarrollo de herramientas y ambientes nuevos.
  • Cambios en la ubicación física de los medios del servicio.
  • Cambio de vendedores.

A.16 Gestión De Incidentes De Seguridad De La Información

16.1 Gestión de Eventos de Seguridad de Información y Mejoras

SiCredit promoverá entre los empleados y personal provisto por terceras partes el reporte de incidentes relacionados con la seguridad de la información y sus medios de procesamiento, incluyendo cualquier tipo de medio de almacenamiento de información, como la plataforma tecnológica, los sistemas de información, los medios físicos de almacenamiento y las personas.

16.1.1 Responsabilidades y Procedimientos

  • SiCredit asignará responsables para el tratamiento de los incidentes de seguridad de la información, quienes tendrán la responsabilidad de investigar y solucionar los incidentes reportados, tomando las medidas necesarias para evitar su reincidencia y escalando los incidentes de acuerdo con su criticidad.
  • La Alta Dirección es la única autorizada para reportar incidentes de seguridad ante las autoridades; así mismo, son los únicos canales de comunicación autorizados para hacer pronunciamientos oficiales ante entidades externas.

16.1.2 Reporte de Eventos de Seguridad de la Información

  • Los propietarios de los activos de información deben informar a Área de Sistemas, los incidentes de seguridad que identifiquen o que reconozcan su posibilidad de materialización.
  • El Área de Sistemas debe establecer responsabilidades y procedimientos para asegurar una respuesta rápida, ordenada y efectiva frente a los incidentes de seguridad de la información.
  • El Área de Sistemas debe evaluar todos los incidentes de seguridad de acuerdo a sus circunstancias particulares y escalar al Comité Integral aquellos en los que se considere pertinente.
  • El Área de Sistemas debe designar personal calificado, para investigar adecuadamente los incidentes de seguridad reportados, identificando las causas, realizando una investigación exhaustiva, proporcionando las soluciones y finalmente previniendo su re-ocurrencia.
  • El Área de Sistemas debe crear bases de conocimiento para los incidentes de seguridad presentados con sus respectivas soluciones, con el fin de reducir el tiempo de respuesta para los incidentes futuros, partiendo de dichas bases de conocimiento.

16.1.3 Reporte de las Debilidades de Seguridad de la Información

  • Los usuarios de servicios de información, al momento de tomar conocimiento directa o indirectamente acerca de una debilidad de seguridad, son responsables de registrar y comunicar las mismas al Área de Sistemas y/o a su Coordinador de Área correspondiente.

16.1.4 Análisis y Decisiones sobre Incidentes de Seguridad de la Información

  • El Comité Integral debe analizar los incidentes de seguridad que le son escalados y activar el procedimiento de contacto con la Alta Dirección cuando lo estime necesario.
  • Es responsabilidad de los empleados de SiCredit y del personal provisto por terceras partes reportar cualquier evento o incidente relacionado con la información y/o los recursos tecnológicos con la mayor prontitud posible.
  • En caso de conocer la pérdida o divulgación no autorizada de información clasificada, como uso interno, reservada o restringida, los empleados deben notificarlo a su Coordinador de Área correspondiente para que se registre y se le dé el trámite necesario.

16.1.5 Respuesta a Incidentes de Seguridad de la Información

  • El Área de Sistemas deberá dar respuesta a los incidentes de seguridad de la información de acuerdo con el Procedimiento de Incidencia de Sistemas.

16.1.6 Aprendiendo de los Incidentes de Seguridad de la Información

  • El Área de Sistemas deberá definir un proceso que permita documentar, cuantificar y monitorear los tipos, volúmenes y costos de los incidentes y anomalías. Esta información se utilizará para identificar aquellos que sean recurrentes o de alto impacto. Esto será evaluado a efectos de establecer la necesidad de mejorar o agregar controles para limitar la frecuencia, daño y costo de casos futuros, con base en el Procedimiento de Incidencia de Sistemas y el Procedimiento de Requisiciones de Servicio de Sistemas.

16.1.7 Colección de Pruebas

  • El Área de Sistemas deberá documentar todos los incidentes de seguridad de la información de la Organización con base en el Procedimiento de Incidencias de Sistemas y cuando aplique deberá elaborar una Acción Correctiva o preventiva, para tener actualizada la base de conocimiento y prevenir y/o a tender de forma más oportuna los futuros incidentes de seguridad.

A.17 Seguridad De La Información En La Continuidad De La Organización

SiCredit proporcionará los recursos suficientes para contar con una respuesta efectiva de los empleados y procesos en caso de contingencia o eventos catastróficos que se presenten en la Organización y que afecten la continuidad de su operación. Además, responderá de manera efectiva ante eventos catastróficos según la magnitud y el grado de afectación de los mismos; se restablecerán las operaciones con el menor costo y pérdidas posibles, manteniendo la seguridad de la información durante dichos eventos. SiCredit mantendrá canales de comunicación adecuados hacia los empleados, proveedores y terceras partes interesadas.

17.1 Aspectos de SI en la Administración de la Continuidad de Negocio

  • Se deben identificar los eventos (amenazas) que puedan ocasionar interrupciones en los procesos de las actividades de la Organización.
  • Se deben evaluar los riesgos, dicha evaluación deberá identificar los recursos críticos, los impactos producidos por una interrupción, los tiempos de interrupción aceptables o permitidos, y debe especificar las prioridades de recuperación.
  • Se deben identificar los controles preventivos, como por ejemplo sistemas de supresión de fuego, detectores de humo y fuego, contenedores resistentes al calor y a prueba de agua para los medios de backup, los registros no electrónicos vitales, etc.
  • Se debe identificar y priorizar los procesos críticos de las actividades de la Organización.

17.1.1 Planeando la Continuidad de la Seguridad de la Información

  • Se debe contar con un Plan de Continuidad de las Actividades de la Organización.
  • El Comité Integral debe tener a cargo la coordinación del proceso de administración de la continuidad de la operación de los sistemas de tratamiento de información de la Organización frente a interrupciones imprevistas.
  • Se debe asegurar que todos los integrantes de la Organización comprendan los riesgos que la misma enfrenta, en términos de probabilidad de ocurrencia e impacto de posibles amenazas, así como los efectos que una interrupción puede tener en la actividad de la Organización.
  • Se debe elaborar y documentar una estrategia de continuidad de las actividades de la Organización consecuente con los objetivos y prioridades acordados.
  • Se debe proponer planes de continuidad de las actividades de la Organización de conformidad con la estrategia de continuidad acordada.
  • Se debe establecer un cronograma de pruebas periódicas de cada uno de los planes de contingencia, proponiendo una asignación de funciones para su cumplimiento.
  • Se debe coordinar actualizaciones periódicas de los planes y procesos implementados.

17.1.2 Implantando la Continuidad de la Seguridad de la Información

  • Se deben identificar y acordar respecto a todas las funciones y procedimientos de emergencia.
  • Se deben analizar los posibles escenarios de contingencia y definir las acciones correctivas a implementar en cada caso.
  • Se deben implementar procedimientos de emergencia para permitir la recuperación y restablecimiento en los plazos requeridos. Se debe dedicar especial atención a la evaluación de las dependencias de actividades externas y a los contratos vigentes.
  • Se deben documentar los procedimientos y procesos acordados.
  • Se debe instruir adecuadamente al personal, en materia de procedimientos y procesos de emergencia acordados, incluyendo el manejo de crisis.
  • Se debe instruir al personal involucrado en los procedimientos de reanudación y recuperación en los siguientes temas:

- Objetivo del plan.

- Mecanismos de coordinación y comunicación entre equipos (personal involucrado).

- Procedimientos de divulgación.

- Requisitos de la seguridad.

- Procesos específicos para el personal involucrado.

- Responsabilidades individuales.

  • Se deben probar y actualizar los planes.

17.1.3 Verificación, Revisión y Evaluación de la Continuidad de la Seguridad de la Información

  • El Comité Integral debe liderar los temas relacionados con la continuidad del negocio y la recuperación ante desastres.
  • El Comité Integral debe realizar los análisis de impacto al negocio y los análisis de riesgos de continuidad para, posteriormente proponer posibles estrategias de recuperación en caso de activarse el plan de contingencia o continuidad, con las consideraciones de seguridad de la información a que haya lugar.
  • El Comité Integral, producto del análisis BIA debe seleccionar las estrategias de recuperación más convenientes para la Organización.
  • El Comité Integral debe validar que los procedimientos de contingencia, recuperación y retorno a la normalidad incluyan consideraciones de seguridad de la información.
  • El Comité Integral debe asegurar la realización de pruebas periódicas del plan de recuperación ante desastres y/o continuidad de negocio, verificando la seguridad de la información durante su realización y la documentación de dichas pruebas.
  • El Comité Integral en conjunto con El Área de Sistemas deben elaborar un plan de recuperación ante desastres para el SITE y un conjunto de procedimientos de contingencia, recuperación y retorno a la normalidad para cada uno de los servicios y sistemas prestados.
  • El Área de Sistemas y el Comité Integral deben participar activamente en las pruebas de recuperación ante desastres y notificar los resultados a la Alta Dirección.
  • Los Coordinadores de Área deben identificar y, al interior de sus áreas, generar la documentación de los procedimientos de continuidad que podrían ser utilizados en caso de un evento adverso, teniendo en cuenta la seguridad de la información. Estos documentos deben ser probados para certificar su efectividad.
  • Se deben revisar periódicamente los planes bajo su incumbencia, como así también identificar cambios en las disposiciones relativas a las actividades de la Organización aún no reflejadas en los planes de continuidad. De cada plan, se debe verificar el cumplimiento de los procedimientos implementados para llevar a cabo las acciones contempladas en cada plan de continuidad.

17.2 Redundancias

  • El Área de Sistemas deberá asegurar la existencia de una plataforma tecnológica redundante que satisfaga los requerimientos de disponibilidad aceptables para la Organización.
  • El Área de Sistemas debe analizar y establecer los requerimientos de redundancia para los sistemas de información críticos para la Organización y la plataforma tecnológica que los apoya.
  • El Área de Sistemas debe evaluar y probar soluciones de redundancia tecnológica y seleccionar la solución que mejor cumple los requerimientos de la Organización.
  • El Área de Sistemas debe administrar las soluciones de redundancia tecnológica y realizar pruebas periódicas sobre dichas soluciones, para asegurar el cumplimiento de los requerimientos de disponibilidad de la Organización.

17.2.1 Disponibilidad de Instalaciones de Procesamiento de Información

  • El Área de Sistemas debe asegurarse de que los respaldos de los sistemas de información de la Organización estén siempre actualizados y disponibles en sus diferentes niveles con base en el Procedimiento de Respaldos de Sistemas de Cómputo.

A. 18 Cumplimiento

18.1 Cumplimiento de Requerimientos Legales

  • Cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones administrativas a la Organización y/o al empleado o que incurran en responsabilidad civil o penal como resultado de su incumplimiento.
  • Garantizar que los sistemas cumplan con la política, normas y procedimientos de seguridad de la Organización.
  • Revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de la política, normas y procedimientos de seguridad, sobre las plataformas tecnológicas y los sistemas de información.
  • Determinar los plazos para el mantenimiento de información y para la recolección de evidencia de la Organización.

18.1.1 Identificación de Legislación Aplicable

  • Se definirán y documentarán claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de información. Del mismo modo se definirán y documentarán los controles específicos y las responsabilidades y funciones individuales para cumplir con dichos requisitos.

18.1.2 Derechos de Propiedad Intelectual (IPR)

Se implementarán procedimientos adecuados para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual.

El Área de Sistemas con la asistencia del Área de Compras, analizará los términos y condiciones de la licencia, e implementará los siguientes controles:

  • Definir normas y procedimientos para el cumplimiento del derecho de propiedad intelectual de software que defina el uso legal de productos de información y de software.
  • Divulgar las Políticas de adquisición de software y las disposiciones de la Ley de Propiedad Intelectual, y notificar la determinación de tomar acciones disciplinarias contra el personal que las infrinja.
  • Mantener un adecuado registro de activos.
  • Conservar pruebas y evidencias de propiedad de licencias, discos maestros, manuales, etc.
  • Implementar controles para evitar el exceso del número máximo permitido de usuarios.
  • Verificar que sólo se instalen productos con licencia y software autorizado.
  • Elaborar y divulgar un procedimiento para el mantenimiento de condiciones adecuadas con respecto a las licencias.
  • Elaborar y divulgar un procedimiento relativo a la eliminación o transferencia de software a terceros.
  • Cumplir con los términos y condiciones establecidos para obtener software e información en redes públicas.

18.1.3 Protección de Registros Organizacionales

  • Los registros críticos de la Organización se protegerán contra pérdida, destrucción y falsificación. Algunos registros pueden requerir una retención segura para cumplir requisitos legales o normativos, así como para respaldar actividades esenciales de la Organización.

18.1.4 Protección de Datos y Privacidad de Información Personal

  • Todos los empleados deberán conocer las restricciones al tratamiento de los datos y de la información respecto a la cual tengan conocimiento con motivo del ejercicio de sus funciones. La Organización redactará una “Carta de Confidencialidad”, el cual deberá ser suscrito por todos los empleados. La copia firmada del compromiso será retenida en forma segura por la Organización.

18.1.5 Regulación de Controles Criptográficos

  • Todos los empleados de la Organización deberán usar controles criptográficos, en cumplimiento de todos los acuerdos, legislación y reglamentación pertinentes, con base en las especificaciones de servicio con las partes interesadas y de acuerdo con la clasificación de la Información descrita en la Tabla de Clasificación de la Información.

18.2 Revisiones de Seguridad de la Información

  • Es necesario contar con adecuada evidencia para respaldar una acción contra una persona u Organización. Siempre que esta acción responda a una medida disciplinaria interna, la evidencia necesaria estará descrita en los procedimientos internos.

18.2.1 Revisión Independiente de la Seguridad de la Información

  • Se protegerá el acceso a los elementos utilizados en las auditorías de sistemas, o sea archivos de datos o software, a fin de evitar el mal uso o el compromiso de los mismos. Dichas herramientas estarán separadas de los sistemas en producción y de desarrollo, y se les otorgará el nivel de protección requerido.

18.2.2 Cumplimiento con Políticas de Seguridad y Estándares

  • Cada Responsable de la Organización, velará por la correcta implementación y cumplimiento de las normas y procedimientos de seguridad establecidos, dentro de su área de responsabilidad.
  • El Área de Sistemas, realizará revisiones periódicas de todas las áreas de la Organización a efectos de garantizar el cumplimiento de la política, normas y procedimientos de seguridad.
  • Los Propietarios de la Información brindarán apoyo a la revisión periódica del cumplimiento de la política, normas, procedimientos y otros requisitos de seguridad aplicables.
  • Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Políticas de Seguridad conforme a lo dispuesto por las normas que rigen al personal de la Organización, y en caso de corresponder, se realizarán las acciones correspondientes ante el o los Organismos pertinentes.

18.2.3 Revisión del Cumplimiento Técnico

  • El Área de Sistemas verificará periódicamente que los sistemas de información cumplan con la política, normas y procedimientos de seguridad, las que incluirán la revisión de los sistemas en producción a fin de garantizar que los controles de hardware y software hayan sido correctamente implementados.
  • Cuando se realicen actividades de auditoría que involucren verificaciones de los sistemas en producción, se tomará cuidado en la planificación de los requerimientos y tareas, y se acordará con las áreas involucradas a efectos de minimizar el riesgo de interrupciones en las operaciones.

Elaboró: Gerardo Estebanes / Jorge Alberto Rodríguez

Revisó: Carlos Hernández

Autorizó: Francisco Del Collado Cuevas

Inicio | Empresa | Soluciones | Clientes | Contacto | Ingresar | Bolsa de Trabajo | Aviso de privacidad | Condiciones de uso | Marcas Registradas

Servicios Integrados de Crédito S.A. de C.V., México D.F.