Política General de Seguridad de La Información

POLÍTICA GENERAL DE
SEGURIDAD DE LA
INFORMACIÓN
DIVISIÓN DE RIESGOS
APROBADO EN SESIÓN
N° 237 – 15 de Abril del 2015
DEL DIRECTORIO
RESPONSABLE DE LA
Carlos Sotelo Rebagliati- Gerente de División de Riesgos
ACTUALIZACIÓN
Walter Huaman Coronel- Gerente de Servicio de Riesgo Operativo y
Gestión de Fraudes
Carlos Soto-Sub Gerente de Seguridad de la Información
REVISADO POR:
© COPYRIGHT MIBANCO – TODOS LOS DERECHOS RESERVADOS

Ninguna parte de esta publicación puede ser reproducida, ni almacenada en un sistema o
transmitida de ninguna forma o bajo ningún mecanismo sin aprobación escrita de MIBANCO
POL-RIE-017
POLÍTICA GENERAL DE SEGURIDAD DE LA
INFORMACIÓN VIGENCIA: 15-04-15
ÍNDICE
1. OBJETIVO ............................................................................................................................................. 3
2. ALCANCE ............................................................................................................................................. 3
3. BASE LEGAL ........................................................................................................................................ 3
4. GENERALIDADES ................................................................................................................................ 3
4.1. GLOSARIO ............................................................................................................................................ 3
4.2. RESPONSABILIDADES ........................................................................................................................ 4
5. POLÍTICAS .......................................................................................................................................... 12
5.1. POLITICAS GENERALES ................................................................................................................... 12
5.2. POLITICAS ESPECÍFICAS.................................................................................................................. 13
6. REGISTROS ........................................................................................................................................ 23
7. ANEXOS .............................................................................................................................................. 23
8. CONTROL DE CAMBIOS ................................................................................................................... 23
La versión vigente de este documento es la que se encuentra en la intranet.

VERSIÓN 01 Cualquier copia impresa se considera copia NO CONTROLADA y se debe PAG. 2 de 23
verificar su vigencia.
POL-RIE-017
1. OBJETIVO
En el cumplimiento de los objetivos del Banco, el Directorio reconoce la importancia que tiene la
información y los recursos que la soportan: Personas, aplicaciones, datos, tecnología e
instalaciones; asimismo, reconoce que existen riesgos que podrían afectar la disponibilidad,
integridad, confidencialidad y privacidad de la información, e identifica la necesidad de implementar
un Sistema de Gestión de Seguridad de la Información (SGSI).
El presente documento establece las responsabilidades y lineamientos que permitirán implementar
en el Banco, un Sistema de Gestión de Seguridad de la Información.
2. ALCANCE
El presente documento es aplicable a todos los procesos del Banco.
3. BASE LEGAL
Externa
• Resolución SBS N° 37-2008 Reglamento de la Gestión Integral de Riesgos.

• Resolución SBS N° 2116-2009 Reglamento para la Gestión del Riesgo Operacional.
• Circular SBS N° G-140-2009 Gestión de la Seguridad de la Información.
• Circular SBS N° G-167-2012 Modificación de la Circular N° G-140-2009.
• Ley N° 29733 Ley de Protección de Datos Personales.
Interna
• Manual de Organización y Funciones de Mibanco

• POL-RIE-009 Política de Gestión del Riesgo Operacional
• Política de Reclutamiento y Selección de Personal
• Política de Desvinculación de Personal
• Política de Capacitación y Desarrollo
• MET-RIE-001 Metodología de Evaluación de riesgos por cambios significativos
• Política de Adquisición, Desarrollo y Mantenimiento de Aplicaciones de Negocio.
• Política de Adquisición y Mantenimiento de Infraestructura Tecnológica.
4. GENERALIDADES
4.1. GLOSARIO
4.1.1. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios,
susceptible de ser procesada, distribuida y almacenada.
4.1.2. Seguridad Lógica: Especificaciones de uso de software, la protección de los datos, la

autorización del acceso de los usuarios a la información, ello con el objetivo principal de
salvaguardar la información procesada y almacenada.
4.1.3. Infraestructura Tecnológica: Comprende el software y hardware que gestiona el Área de

Sistemas.
4.1.4. Activo de Información: Información en formato físico o digital que tenga un valor para el
Banco y sea parte de la actividad o soporte un proceso de negocio.

POL-RIE-017
4.1.5. Activo de Software: Software de aplicación (Aplicativos o Sistemas de Información)

orientado al procesamiento y administración de datos e información digital.
4.1.6. Propietario de Activo: Es el responsable de asegurar que los activos de información y de

software se encuentren seguros (preservación de la confidencialidad, integridad y
disponibilidad y privacidad).
4.1.7. Custodio de Activo: Gerentes y Sub Gerentes responsables de la custodia de los medios a
través de los cuales se almacena, procesa o transmiten los activos de información y de
software.
4.1.8. Sistema de Gestión de Seguridad de la Información (SGSI): Parte de un sistema de

gestión global, dirigido a establecer, implantar, operar, supervisar, revisar, mantener y
mejorar la seguridad de la información en la organización. Conjunto de normativas con una
estructura organizacional asociada, que permite la administración de la información en
términos de seguridad de la información.
4.2. RESPONSABILIDADES
Se establece la siguiente estructura organizacional para administrar el Sistema de Gestión de

Seguridad de la Información en el Banco.
4.2.1. Gerente General
4.2.1.1. Dar cumplimiento y hacer cumplir en todas las instancias de la empresa, las
políticas de Seguridad de la Información indicadas en el presente documento
4.2.1.2. Asegurar la difusión de las medidas de seguridad aprobadas en el Directorio o

Comités especializados del mismo.
4.2.2. Comité de Administración de Riesgos
4.2.2.1. Aprobar las Políticas Generales de Seguridad de la información, propuestas por la

Subgerencia de Seguridad de la Información.
4.2.2.2. Aprobar el Plan de tratamiento de riesgos de la información y los cambios al

mismo.
4.2.2.3. Aprobar los diferentes Planes Anuales de Seguridad de la Información vinculados

a los colaboradores, seguridad física, seguridad informática y seguridad de la
información.
4.2.2.4. Informar al Directorio sobre las medidas preventivas y correctivas implementadas,

tomando en cuenta el resultado de los acuerdos tomados en el Comité de
Administración de Riesgos.
4.2.3. Comité Gerencial de Riesgo Operacional, Continuidad del Negocio y Seguridad de la

Información
4.2.3.1. Revisar las Políticas Generales de Seguridad de la información, propuestas por la


POL-RIE-017
4.2.3.2. Revisar el Plan de tratamiento de riesgos de la información y los cambios al

mismo.
4.2.3.3. Revisar las propuestas y planes de mejora sobre Seguridad de la Información.
4.2.3.4. Proporcionar los recursos necesarios para desarrollar, implementar, operar y

mantener el sistema de gestión de seguridad de la información del Banco.
4.2.3.5. Analizar y evaluar el impacto de los eventos relevantes relacionados con

seguridad de la información y definir planes de acción.
4.2.3.6. Supervisar el alineamiento con el programa corporativo de Seguridad de la

Información
4.2.3.7. Revisar la planificación, seguimiento y próximas actividades de los Planes

Operativos, Planes de Concientización y Planes de Acción de Seguridad de la
Información.
4.2.3.8. Revisar los nuevos lineamientos, variaciones en los perfiles de riesgos, eventos
relevantes y cumplimiento de métricas que serán presentados en el Comité de
Riesgos de Operación Credicorp
4.2.3.9. Desempeñar las funciones equivalentes al Comité de Seguridad de la Información,

indicado en la Política Corporativa de Seguridad de la Información - Credicorp.
4.2.4. Propietario de Activo
4.2.4.1. Identificar y clasificar los activos de información y de software de su División.
4.2.4.2. Determinar el valor que tienen sus activos para el proceso de negocio,
permitiéndole determinar la importancia y criticidad del activo.
4.2.4.3. Establecer los requerimientos de seguridad de sus activos basados en un análisis

de riesgos, requerimientos del negocio o requerimientos regulatorios, legales y
contractuales.
4.2.4.4. Supervisar la implementación de los mecanismos de seguridad definidos.
4.2.5. Custodio de Activo:
4.2.5.1. Apoyar al propietario de activo en el proceso de identificación, clasificación y

valoración de activos de información y de software en los procesos
correspondientes.
4.2.5.2. Apoyar al propietario de activo en la evaluación de riesgos de seguridad de la

información.
4.2.5.3. Apoyar al propietario operando las medidas de seguridad relacionadas al activo de

información y de software.
4.2.6. Gerente de División de Riesgos

POL-RIE-017
4.2.6.1. Desarrollar, custodiar y mantener actualizada las normas del Sistema de Gestión
de Seguridad de la Información del Banco.
4.2.6.2. Verificar el cumplimiento de las normas pertinentes al Sistema de Gestión de

Seguridad de la Información.
4.2.6.3. Elaborar una metodología de evaluación de riesgos de Seguridad de la

Información.
4.2.6.4. Evaluar los riesgos de Seguridad de la Información de los activos de la empresa.
4.2.6.5. Elaborar y actualizar el mapa de riesgos de Seguridad de la Información del

Banco.
4.2.6.6. Identificar y evaluar los riesgos de Seguridad de la Información, basados en una

metodología aprobada por el Comité de Administración de Riesgos.
4.2.6.7. Establecer los lineamientos para el tratamiento de los riesgos de Seguridad de la

Información identificados.
4.2.6.8. Elaborar el Plan de tratamiento de riesgos de Seguridad de la Información y

someterlo a aprobación del Comité de Administración de Riesgos.
4.2.6.9. Monitorear la vigencia de las Políticas de Seguridad de la Información, así como

recomendar sus modificaciones.
4.2.6.10. Identificar y evaluar los riesgos de Seguridad de la Información de los

colaboradores, física, informática y de información; recomendando las medidas de
mitigación correspondientes.
4.2.6.11. Evaluar los riesgos que se podrían generar en el lanzamiento de nuevos productos
y cambios significativos en el entorno operativo e informático, incluyendo los de
seguridad de la información relativos a ello; recomendando las medidas que los
mitiguen.
4.2.6.12. Proponer los temas vinculados a los riesgos de Seguridad de la Información a ser
incluidos en el Plan Anual de Capacitación en Seguridad de la Información.
4.2.6.13. Garantizar la gestión de la Seguridad de la Información a todo nivel en la

organización.
4.2.6.14. Presentar al Comité de Administración de Riesgos el Plan Anual de Seguridad de

la Información y Plan Anual de Capacitación en Seguridad de la Información, para
su aprobación respectiva.
4.2.6.15. Garantizar la implementación de las medidas de Seguridad de la Información que

se deriven del Plan Anual de Seguridad de la Información, a nivel nacional.
4.2.6.16. Garantizar el monitoreo por parte de la Subgerencia de Seguridad de la

Información respecto al conocimiento que deben tener los colaboradores de las
políticas impartidas a través de los medios con que cuenta la organización.

POL-RIE-017
4.2.7. Sub Gerente de Seguridad de la Información
4.2.7.1. Coordinar con los propietarios la actualización del inventario de los activos de
información y de software, que será la base del Sistema de Gestión de Seguridad
de la Información.
4.2.7.2. Definir los lineamientos base de configuración y uso de los recursos de Tecnología
de la Información.
4.2.7.3. Coordinar el diseño y la implementación de los mecanismos de Seguridad de la

Información e incorporarlos al Sistema de Gestión de Seguridad de la Información.
4.2.7.4. Coordinar la revisión y aprobación de los mecanismos de Seguridad de la

Información, de acuerdo a las Políticas establecidas.
4.2.7.5. Monitorear el cumplimiento y la efectividad de las políticas y mecanismos de

Seguridad de la Información definidos.
4.2.7.6. Centralizar, evaluar las acciones inmediatas adoptadas y determinar acciones

complementarias sobre los incidentes de Seguridad de la Información reportados
en el Banco.
4.2.7.7. Atender los informes de Riesgos, Auditoría Interna y Externa con respecto a la
seguridad de la información y establecer un Plan de acciones correctivas.
4.2.7.8. Informar al Comité de Administración de Riesgos los resultados de la gestión del

Sistema de Gestión de Seguridad de la Información.
4.2.7.9. Mantener actualizada la estructura documentaria del Sistema de Gestión de

Seguridad de la Información.
4.2.7.10. Proponer las modificaciones o actualizaciones en las políticas, directivas y

procedimientos de Seguridad de la Información.
4.2.7.11. Elaborar el Plan Anual de Seguridad de la Información y remitirlo al Gerente de

División de Riesgos para que lo proponga en el Comité de Administración de
Riesgos.
4.2.7.12. Asegurar, en coordinación con las áreas responsables, la gestión de la seguridad

de los colaboradores, física, informática y de la información en los locales de la
empresa, en el ámbito nacional bajo el marco del sistema de gestión de Seguridad
de la Información. Se delegará esta función a los Jefes de Banca y Servicio para el
caso de Agencias y Oficinas Especiales, teniendo en consideración que esta
responsabilidad abarca las oficinas en convenio de su ámbito geográfico.
4.2.7.13. Elaborar el Plan Anual de Capacitación en Seguridad de la Información vinculado

a los colaboradores, contratistas y terceros, en coordinación con la Gerencia de
División de Gestión y Desarrollo Humano, para su aprobación en el Comité de
Administración de Riesgos.
4.2.7.14. Implementar las medidas de Seguridad de la Información que se deriven de la

ejecución del Plan Anual de Seguridad de la Información, administrando asimismo
los recursos que para ello asigne la empresa.
POL-RIE-017
4.2.7.15. Verificar que todos los colaboradores estén informados de las políticas
establecidas en el presente documento, cuyo cumplimiento es de carácter
obligatorio.
4.2.7.16. Participar en las acciones de capacitación que se desarrollen con el objetivo de

dar a conocer a los colaboradores, contratistas y terceros las políticas, medidas
preventivas y procedimientos de Seguridad de la Información.
4.2.7.17. Administrar los incidentes de seguridad de la información y las vulnerabilidades

asociadas con los sistemas de información y proponer acciones apropiadas.
4.2.7.18. Proponer controles y procedimientos para su aplicación en el banco, permitiendo

mitigar los riesgos de seguridad de la información a los que se está expuesto;
asesorando a los usuarios sobre su implementación y siguiendo como modelo
referente de seguridad el establecido por los Oficiales de Seguridad de la
Información de la matriz (BCP).
4.2.7.19. Desarrollar y ejecutar de manera permanente el proceso de validación y monitoreo

del cumplimiento de los controles de seguridad de la información en el banco,
identificando las oportunidades de mejora y definiendo planes de acción
correctivos y/o preventivos en coordinación con las áreas evaluadas.
4.2.7.20. Coordinar con las Áreas que validan el cumplimiento de las Políticas de Seguridad
de la Información en el banco, las posibles sanciones o llamados de atención que
puedan existir ante algún tipo de incumplimiento.
4.2.7.21. Utilizar la metodología de evaluación de riesgos de operación proporcionada por el

Servicio de Riesgo Operativo y Gestión de Fraudes.
4.2.7.22. Asegurar que las Áreas del banco realicen las evaluaciones de riesgos de los
activos de información y de software.
4.2.7.23. Asesorar a las Áreas del banco en la definición de planes de acción que les ayude
a minimizar el nivel de exposición de sus activos de información y de software.
4.2.7.24. Establecer en coordinación con el Propietario del Activo (Owner), los procesos o
controles necesarios para mitigar los riesgos de seguridad de la información, con
el fin de lograr un entorno seguro para los activos.
4.2.7.25. Atender, coordinar y absolver consultas de las entidades reguladoras, proveedores

y/o consultores especializados en temas relacionados a la seguridad de la
información de su organización.
4.2.7.26. El Oficial de Seguridad de la Información del banco deberá informar a los Oficiales
Corporativos de Seguridad de la Información sobre el cumplimiento de la política
(matriz BCP) y los aspectos principales de los riesgos de operación relacionados a
seguridad de la información de su empresa según el nivel exposición.
4.2.8. Gerente de Servicio de Riesgo Operativo y Gestión de Fraudes

POL-RIE-017
4.2.8.1. Realizar un seguimiento y monitoreo al cumplimiento de la ejecución de planes de

acción de riesgos con criticidad Relevante, Alta o Crítica, que resulten de las
evaluaciones de riesgos de seguridad de la información.
4.2.8.2. Planificar la evaluación de riesgos de seguridad de la información de acuerdo con

los estándares metodológicos definidos por la matriz (BCP).
4.2.8.3. Monitorear el desarrollo de los cursos de capacitación y campañas de

concientización sobre la gestión de la Seguridad de la Información para los
colaboradores del Banco, informando a la Gerencia de Riesgos de Operación de la
matriz (BCP).
4.2.8.4. Capacitar al Oficial de Seguridad de la Información en la metodología de

evaluación de riesgos de operación definida por la matriz (BCP).
4.2.9. Gerente de División de Gestion y Desarrollo Humano
4.2.9.1. Asegurar el reclutamiento del personal idóneo y acorde con la cultura de

Seguridad de la Información de la empresa cumpliendo con lo estipulado en el
Reglamento Interno de Trabajo.
4.2.9.2. Establecer los mecanismos necesarios que permitan promover la cultura de

Seguridad de la Información en el Banco.
4.2.9.3. Difundir y ejecutar el Plan Anual de Capacitación en Seguridad de la Información

del Banco.
4.2.9.4. Comunicar oportunamente a la Gerencia de Producción de Sistemas y la

Subgerencia de Seguridad de la Información sobre el movimiento interno, ingreso
o cese del personal.
4.2.9.5. Sancionar el incumplimiento de las normas y medidas de seguridad, según lo

establecido en el Reglamento Interno de Trabajo del Banco.
4.2.10. Gerente de Área de Sistemas
4.2.10.1. Participar en la elaboración del Plan Anual de Seguridad de la Información

desarrollado por la Subgerencia de Seguridad de la Información, en la sección de
proyectos de tecnología y sistemas de información; considerando los riesgos de
Seguridad de la Información identificados por la Gerencia de Riesgos, para su
aprobación en el Comité de Administración de Riesgos.
4.2.10.2. Implementar el Plan Anual de Seguridad de la infraestructura tecnológica, de

acuerdo a las pautas determinadas con tal fin.
4.2.10.3. Comunicar oportunamente a la Subgerencia de Seguridad de la Información sobre

todos los cambios o actualizaciones en la infraestructura tecnológica de seguridad.
4.2.10.4. Administrar los accesos a los diferentes sistemas de información, software base,
servidores, bases de datos y dispositivos de telecomunicaciones, garantizando la
disponibilidad, confidencialidad, integridad y privacidad de la información, de

POL-RIE-017
acuerdo con los procesos definidos por la Subgerencia de Seguridad de la

Información.
4.2.11. Gerente de División Legal
4.2.11.1. Velar por el cumplimiento de la legislación vigente en materia de protección y

seguridad de la información.
4.2.11.2. Asegurar la inclusión de acuerdos de confidencialidad de información y/o el

cumplimiento de las medidas de seguridad de protección de datos establecidas
por el banco, en la contratación con proveedores o terceros que pudieran tener
acceso a información o activos de información del banco.
4.2.11.3. En caso de incumplimiento del deber de confidencialidad de la información por

parte de proveedores, terceros, empleados o clientes, evaluar y/o proponer las
acciones legales que pudieran corresponder según la gravedad de los daños
ocasionados, exposición y/o afectación de la disponibilidad e integridad de la
información en resguardo de los intereses del banco.
4.2.12. Gerentes de División, Gerentes y Sub Gerentes
4.2.12.1. Gestionar la seguridad en su ámbito de acción, dentro de las políticas y

procedimientos establecidos.
4.2.12.2. Participar activamente en la actualización de los inventarios de activos y la

evaluación de riesgos de Seguridad de la Información en sus respectivas áreas.
4.2.12.3. Promover dentro de sus áreas, el reporte de los riesgos ó incidentes de seguridad
de la información que se presenten.
4.2.12.4. Comunicar al Subgerencia de Seguridad de la Información las consultas o

sugerencias para la mejora de la gestión de la Seguridad de la Información.
4.2.12.5. Asegurar que los colaboradores, a la terminación del empleo, devuelvan los
activos que le fueron asignados.
4.2.12.6. Asegurar el cumplimiento de las medidas de seguridad establecidas por el Banco,

en los proveedores o terceros que contraten con el Banco, cumplan
4.2.13. Gerente de División de Auditoría Interna
4.2.13.1. Evaluar periódicamente el cumplimiento de los procedimientos, y la eficiencia y

efectividad de los controles de Seguridad de la Información, que permita
determinar los riesgos residuales dentro del esquema de gestión de riesgos de
Seguridad de la Información. Asimismo, incluirá la referida evaluación en su Plan
Anual de Trabajo.
4.2.14. Todos los colaboradores
4.2.14.1. Todo personal y trabajadores externos del banco, serán responsables de gestionar
sus activos de información según su clasificación, siguiendo los lineamientos de
dispuestos en la Política Corporativa de Seguridad de la Información – Credicorp y
en las políticas internas de Seguridad de la Información.
POL-RIE-017
4.2.14.2. Conocer, comprender y cumplir las políticas y estándares de Seguridad de la

Información.
4.2.14.3. Mantener la confidencialidad de su identificación y password de seguridad

(contraseñas) en todas las aplicaciones de la empresa.
4.2.14.4. Mantener y custodiar diligentemente la información en uso, su escritorio y

ambiente de trabajo.
4.2.14.5. Cumplir con las políticas y proceso de envío / traslado de información.
4.2.14.6. Usar los activos de información solamente para los propósitos del negocio para los
que fueron entregados.
4.2.14.7. Todos los empleados y trabajadores externos del banco, deben destruir de manera
segura los documentos físicos clasificados como RESTRINGIDO previo a su
desecho (con máquina trituradora o manualmente).
4.2.14.8. Deberá notificar a las unidades responsables ante la detección de cualquier

incidente relacionado a seguridad de la información.

POL-RIE-017
5. POLÍTICAS
5.1. POLITICAS GENERALES
5.1.1. La Política General de Seguridad de la Información define el cumplimiento del Banco

para administrar efectiva y eficazmente la Seguridad de la Información, de manera
coordinada, global y conforme con la normativa o reglamentos aplicables en cualquier
lugar donde la institución mantiene operaciones.
5.1.2. Los negocios del Banco se basan en la confianza, y dependen estrechamente de la

información. La información, ya sea la que emana directamente de la Organización, o, la
que nos confían los clientes, proveedores u otras partes, con las cuales el Banco realiza
negocios, es un activo valioso y, por lo tanto, debe protegerse en forma adecuada.
5.1.3. La Seguridad de la Información conlleva la protección de la misma, lo cual incluye, el

apoyo a los recursos de los Sistemas de Información, para protegerlos de una amplia
variedad de amenazas, cuya naturaleza está cambiando continuamente. Dichas
amenazas comprenden errores y omisiones, fraudes, accidentes y daños deliberados. La
Seguridad de la Información es fundamental para el Banco con el objeto de asegurar el
éxito de sus actividades y de mantener su reputación.
5.1.4. Las políticas, metodologías, manuales de procedimientos, manuales de usuario,

controles y capacitación relacionados con la Seguridad de la Información son parte
esencial del marco general de controles internos del Banco, con el fin de evitar que la
información bajo su custodia no sea visualizada, explotada, mal utilizada, cambiada o
divulgada sin descubrir tales acciones. Los niveles apropiados de Seguridad de la
Información protegen la reputación del Banco y sustentan la Política con respecto a
hacer las cosas apropiadas, hacerlas bien y tratar con las personas idóneas.
5.1.5. El Banco empleará los medios razonables para asegurar la confidencialidad de la

información bajo su custodia, garantizar la integridad y asegurar la disponibilidad y
continuidad de los sistemas de información y su infraestructura tecnológica.
5.1.6. Esos objetivos deben alcanzarse a un costo acorde con los riesgos de los negocios y en
forma congruente, tanto con la necesidad de información fiable, como la necesidad de
proporcionar un nivel de servicio apropiado, a través de diversos canales de servicio que
continuamente cumplan o sobrepasen las expectativas comerciales de los clientes y
deben estar conforme a los requisitos legales, reglamentarios o contractuales.
5.1.7. El Oficial de Seguridad de la Información tiene la responsabilidad de validar el

cumplimiento de las políticas y los lineamientos, y proponer las acciones para mejorar el
control y seguridad del uso y custodia de la información lógica (dentro y fuera de la
custodia del Área de Sistemas) y física. El rol de Oficial de Seguridad de la Información
será desempeñado por el Sub Gerente de Seguridad de la Información del Banco.

POL-RIE-017
5.1.8. La política, procedimientos y medidas determinadas en el presente documento estarán

en forma oportuna, a disposición de todos los colaboradores del Banco, en virtud de lo
cual éstos deben conocer, comprender y seguir los procedimientos y normas
establecidas para el desarrollo eficiente de la Seguridad de la Información en la empresa.
5.1.9. Los proveedores y terceras partes que accedan a la información del Banco, deberán
tener conocimiento en forma oportuna y cumplir con las políticas, estándares,
procedimientos de seguridad y capacitaciones relacionados a sus actividades. El
personal encargado de la supervisión de las actividades del proveedor o tercero es el
responsable de asegurar el cumplimiento de las mismas.
5.1.10. Toda información de los procesos operativos del Banco, información de clientes,
proveedores y empleados, así como los activos de software que soportan estos procesos
deberán ser protegidos de riesgos de seguridad de la información, esto es, pérdida de
disponibilidad, integridad, confidencialidad y privacidad.
5.1.11. El Banco mantendrá actualizado un sistema para gestionar la Seguridad de la

Información basado en riesgos de seguridad.
5.2. POLITICAS ESPECÍFICAS
5.2.1. Administración de Activos
5.2.1.1. La información generada en los procesos y los aplicativos desarrollados por los
colaboradores son propiedad del Banco, por lo que todos los colaboradores
vinculados a su procesamiento, transmisión o almacenamiento deberán cumplir las
medidas que establezca el Propietario de los Activos en coordinación con la
Subgerencia de Seguridad de la Información, en función de la clasificación de la
información.
5.2.1.2. Todo activo de información y de software del Banco contará con un Propietario,
quien será responsable de su identificación y clasificación de acuerdo con su nivel
de importancia para los procesos de negocio.
5.2.1.3. Los Activos de Información identificados podrán ser Documentos Físicos (DF) o
Documentos Digitales (DD); mientras que los Activos de Software podrán ser
Aplicativos Formales (APP) o Aplicativos Informales (APPnoIT).
5.2.1.4. Dependiendo del nivel de sensibilidad y criticidad de la información o del software

y según la evaluación de sus requerimientos de confidencialidad, integridad,
disponibilidad y privacidad, un Activo de Información o de Software podrá ser
clasificado como: RESTRINGIDO, INTERNO o PÚBLICO.
5.2.1.5. Los Gerentes de División serán los propietarios de los activos de información y de
software que generen dentro de sus procesos.
5.2.1.6. El Propietario se verá soportado por el Custodio de Activo, quien opera las
medidas de seguridad relacionadas al activo de información y de software.
5.2.1.7. Los activos, sus características, sus propietarios y su clasificación formarán parte
de un inventario de activos que será actualizado por los Propietarios en
coordinación con la Subgerencia de Seguridad de la Información. Este proceso se
realizará considerando lo siguiente:
POL-RIE-017
• Procesos del Banco

• Documentos normativos vigentes
• Visita de supervisión de organismos reguladores
• Exámenes de auditoría interna/externa
• Cambios importantes en los aplicativos y bases de datos.
5.2.1.8. Todas las Gerencias de División deben definir los períodos de tiempo que la
información bajo su responsabilidad deberá ser retenida en función de los
requerimientos legales y de negocio.
5.2.1.9. Todo activo será eliminado con la autorización expresa de su Propietario.
5.2.2. Seguridad de Recursos Humanos
5.2.2.1. La División de Gestion y Desarrollo Humano es responsable de la selección y

contratación del personal que ingrese a laborar al Banco, verificando los datos,
antecedentes y referencias de los postulantes, de acuerdo a lo establecido en la
Política de Reclutamiento y Selección de Personal.
5.2.2.2. La División de Gestion y Desarrollo Humano en coordinación con la Gerencia

Legal asegurará que los términos y condiciones de los contratos de empleo del
colaborador contemplen las obligaciones del personal en relación a la seguridad
de la información de la Empresa. Asimismo, garantizará la firma del Acuerdo de
Confidencialidad y/o otros documentos relacionados.
5.2.2.3. Todo contrato, convenio de personal o compañía de servicios involucrada en los

procesos del Banco incluyendo la participación en el desarrollo de aplicaciones,
deberá contar con una cláusula que exprese su acuerdo en el cumplimiento de la
confidencialidad de la información a la que tengan acceso, según el nivel de
criticidad de la información, las mismas que se harán responsables ante cualquier
manejo indebido de dicha información.
5.2.2.4. La información del personal que labora en el Banco es considerada como

Restringida y no deberá ser entregada a entidades o personas externas, a menos
que sea requerido por mandato legal o autorizado expresamente por el
colaborador.
5.2.2.5. La Unidad de Soporte al Usuario, la Subgerencia de Seguridad Física y la

Subgerencia de Seguridad de la Información deberán asegurar el retiro de los
derechos de acceso a las instalaciones y a los sistemas de información de la
Empresa, cuando termine el vínculo laboral con el Banco. Para ello, la División de
Gestión y Desarrollo Humano deberá informar a Producción de Sistemas – Unidad
de Soporte a Usuarios y a la Subgerencia de Seguridad Física sobre los ceses de
personal en forma oportuna.
5.2.2.6. La Subgerencia de Seguridad de la Información en coordinación con la Gerencia

de División de Gestión y Desarrollo Humano, son responsables de llevar a cabo
las capacitaciones a los colaboradores, contratistas y terceros con la finalidad de
concientizar y asegurar el cumplimiento de la normativa del Sistema de Gestión de

POL-RIE-017
Seguridad de la Información (SGSI), siguiendo lo establecido en la Política de

Capacitación y Desarrollo.
5.2.2.7. Todo colaborador deberá participar de manera obligatoria en los programas de

capacitación y/o concientización en seguridad de la información. La participación
de los contratistas y terceros que sean convocados también será obligatoria,
previa coordinación con las Áreas responsables su supervisión.
5.2.2.8. Con el fin de garantizar la seguridad de la información, los colaboradores no

deberán informar, comentar o divulgar de cualquier manera a terceros o personas
no autorizadas, cometiendo infidencia sobre las operaciones o cualquier
información que no haya sido clasificada explícitamente como pública.
5.2.2.9. El incumplimiento de las Políticas de Seguridad de la Información será reportado a

las Gerencias respectivas con copia a la Gerencia de División de Gestión y
Desarrollo Humano para la aplicación de las sanciones correspondientes, según lo
establecido en el Reglamento Interno de Trabajo.
5.2.3.Seguridad Física y Ambiental
5.2.3.1. Seguridad Física
• Todos los controles de seguridad física serán gestionados a través del

Subgerencia de Seguridad Física del Banco, los cuales incluyen temas de:
seguridad física en el perímetro, controles físicos de entrada a las instalaciones
de todas las oficinas, protección contra amenazas externas y ambientales.
• El retiro y/o traslado de computadores portátiles fuera de las instalaciones del

Banco sólo procederá si cuenta con la autorización respectiva del Gerente de
División o Gerente de Área solicitante.
5.2.3.2. Área Restringida
• El banco define “Áreas Restringidas” a los lugares donde la información debe

contar con controles manuales o automáticos para resguardar la información de
la Empresa. Para incrementar la seguridad de las Áreas Restringidas, se
establecen los siguientes controles y lineamientos adicionales; esto incluye
controles para el personal que trabaja en el Área Restringida, así como para las
actividades de terceros que tengan lugar allí:
 Dar a conocer al personal la existencia de Áreas Restringidas, o de las

actividades que allí se llevan a cabo, sólo si es necesario para el
desarrollo de sus funciones.
 Evitar la ejecución de trabajos por parte de terceros sin supervisión.
 Bloquear físicamente e inspeccionar periódicamente las Áreas
Restringidas desocupadas.
 Limitar el acceso al personal del servicio de soporte externo a las Áreas
Restringidas y a las instalaciones de procesamiento de información
sensible. Este acceso, como el de cualquier otra persona ajena que
POL-RIE-017
requiera acceder al área restringida, será otorgado solamente cuando

sea necesario y se encuentre autorizado y monitoreado. Se mantendrá
un registro de todos los accesos de personas ajenas.
 Impedir el ingreso de computadores portátiles, fotográficos, de vídeo,
audio o cualquier otro tipo de equipamiento que registre información, a
menos que hayan sido formalmente autorizadas por el Responsable de
dicho área o el Responsable de la Subgerencia de Seguridad de la
Información.
 Prohibir comer, beber y fumar dentro de las instalaciones de
procesamiento de la información.
 Todo ambiente del Banco donde se almacene o procesa información
Restringida, deberá ser considerado como “Área Restringida”, estas
áreas deberán contar con seguros adecuados para evitar que la
información pueda ser extraída.
5.2.3.3. Seguridad de la Sala Cómputo
• La sala de cómputo o centro de procesamiento de datos (CPD) es

considerado un "Área Restringida" y el ingreso será permitido sólo al personal
autorizado por la Gerencia Área de Sistemas. Asimismo, se deberá registrar
el ingreso de las personas, ya sea que realicen actividades de inspección,
visitas o efectúen tareas operativas habituales.
• El centro de procesamiento de datos (CPD) deberá contar con los

mecanismos de seguridad físico y ambiental requeridos como: Aire
Acondicionado, Control de Temperatura, Control de Humedad, Sistema de
Detección y Extinción de Incendios, además de contar con los sensores y
alarmas necesarios.
• Todos los equipos de procesamiento de información deberán contar con

estabilizadores de tensión y/o UPS a fin de proteger ante fallos de energía.
• El cableado de energía y comunicaciones que soporten los servicios de

información deberán ser protegidos de intercepciones y/o daños no
autorizados, protegiendo los mismos a través de conductos ubicados en rutas
no públicas, separando los cables de datos y energía entre otros mecanismos
que garanticen la protección de los mismos.
5.2.3.4. Mantenimiento de Equipos
• Las Gerencias de Operaciones, Administración y Sistemas son responsables

del mantenimiento preventivo y correctivo del equipamiento de seguridad
física y ambiental que se encuentra en el centro de procesamiento de datos
(CPD) y gabinetes de comunicaciones que se encuentran en las Agencias y
Oficinas Especiales.

POL-RIE-017
• La Subgerencia de Seguridad de la Información monitoreará las actividades

de mantenimiento de los equipos del CPD.
5.2.3.5. Reutilización Segura de los Equipos
• La información del Banco puede verse comprometida por una reutilización

descuidada del equipamiento. Los medios de almacenamiento conteniendo
información sensible, por ejemplo discos rígidos no removibles, serán
físicamente destruidos o sobrescritos en forma segura en lugar de utilizar las
funciones de borrado estándar, según corresponda.
5.2.3.6. Organización del Sitio de trabajo de colaboradores
• Todo colaborador deberá asegurarse que su equipo asignado esté

debidamente protegido de accesos no autorizados cuando abandone
temporalmente su estación de trabajo para ello deberá bloquear manualmente
el acceso al equipo.
• Los usuarios deberán cerrar las sesiones activas y apagar el equipo tan
pronto terminen sus labores.
• Toda la documentación clasificada como Restringida deberá ser protegida

durante y fuera del horario de trabajo, la cual deberá ser en archivadores o
gavetas seguras.
• Los usuarios son responsables de recoger los documentos que envíen a la

impresora a fin de mantener la reserva de la información que manejan en su
área.
5.2.4.Gestión de Comunicación y Operaciones
5.2.4.1. Procedimientos y Responsabilidades de Operación
• Gestion de cambios: Los cambios en los componentes de la infraestructura

tecnológica serán realizados de acuerdo con un procedimiento para el control
de los cambios. Además, se realizará una evaluación de riesgos en los
cambios de la infraestructura tecnológica que soporta los principales
productos o servicios de la empresa, para la identificación de controles e
implementación de planes de acción.
• Segregación de tareas: Se separará la gestión o ejecución de ciertas tareas o

áreas de responsabilidad, a fin de reducir el riesgo de modificaciones no
autorizadas o mal uso de la información o los servicios por falta de
independencia en la ejecución de funciones críticas.

POL-RIE-017
• Separación de los recursos para desarrollo y para producción: La Gerencia de

Área de Sistemas deberá implementar los ambientes necesarios que permitan
el desarrollo, prueba y puesta a producción de los sistemas de información
estableciendo el procedimiento que permita transferir el software del entorno
de desarrollo al entorno de calidad y luego al de producción; asimismo,
asegurando la separación de los recursos entre un ambiente y otro.
5.2.4.2. Protección Contra Software Malicioso
• Toda estación de trabajo y servidor de propiedad del Banco deberá contar

con medidas y controles corporativos contra software malicioso, los cuales
deben ser aprobados y validados por la Subgerencia de Seguridad de la
Información.
• La implementación y administración de estos controles serán de

responsabilidad de la Gerencia de Área de Sistemas.
5.2.4.3. Gestión de Seguridad en Redes
• La Subgerencia de Seguridad de la Información evaluará periódicamente la

seguridad perimetral e interna de la red definiendo los dispositivos y/o
controles requeridos para la protección de la misma. Estos controles incluirán
entre otros dispositivos Firewall, antivirus, filtros de correo, filtros de
navegación web, entre otros. Los componentes de seguridad están sujetos a
monitoreo de acuerdo al Cronograma Anual de Monitoreo de Seguridad de la
Información.
• Todo registro de la configuración realizada a los dispositivos y/o software se

considera información Restringida la cual será administrada por la Gerencia
de Área de Sistemas.
• Todo acceso remoto a la red interna del Banco será autorizado por la
Subgerencia de Seguridad de la Información. Para ello se deberá considerar
el acceso mediante infraestructura de red privada virtual (VPN).
• Todos los incidentes de seguridad en las redes externas e internas deben ser
reportados inmediatamente al Subgerencia de Seguridad de la Información,
quien mantendrá un registro de dichos incidentes, investigará las causas y
coordinará con los propietarios de información la implantación de medidas de
control. Este registro estará disponible para las áreas de control de la
empresa.
5.2.4.4. Utilización de los Medios de Información
• Gestión de medios removibles: La utilización de los medios comúnmente

utilizados para el traspaso de información tales como: grabadoras de discos
compactos, interfaces USB, entre otros, estará restringida.
POL-RIE-017
• La Gerencia de Área de Sistemas en forma coordinada con la Subgerencia de

Seguridad de la Información y la Gerencia de División de Riesgos
establecerán un procedimiento para regular el uso de este tipo de
dispositivos.
5.2.4.5. Servicios de correo electrónico
• El uso del correo electrónico del Banco es para uso exclusivo de las
actividades de la organización, cualquier uso no destinado a ello contraviene
las políticas de la Empresa.
• Los usuarios no deberán reenviar mensajes de correo no solicitado (spam,

cadenas de mensajes, propaganda, u otros) para evitar la posibilidad de
intrusión de malware al sistema o de otro tipo de ataque malicioso.
• Queda prohibido falsear, confundir, ocultar o sustituir la identidad de otro usuario

en un sistema de comunicaciones electrónicas y/o correos electrónicos. El
nombre del usuario, la dirección de correo electrónico, la afiliación a una
organización y otros datos relacionados incluido en los mensajes o anuncios
electrónicos deben señalar el verdadero origen de los mismos.
• Los colaboradores que reciban comunicaciones electrónicas deben ser

precavidos cuando reenvíen mensajes. La información restringida del Banco
no debe enviarse a ningún tercero fuera de la empresa sin autorización previa
de su Propietario; queda prohibido el reenvío y/o re-direccionamiento general
de los correos electrónicos a terceros fuera de la Empresa a menos que se
haya obtenido un permiso con anticipación de los Propietarios y la
• Los colaboradores del Banco no deben usar frases irreverentes, palabras

obscenas o comentarios peyorativos en los mensajes de correo electrónico en
referencia a los empleados, los clientes, los competidores u otras personas,
ya que estos pueden tener implicancias legales negativos para la Empresa.
En las comunicaciones electrónicas de la Empresa, los empleados deben
ocuparse de los asuntos relacionados con el negocio; como parte de las
prácticas normales de las actividades del negocio, todas esas
comunicaciones deben adherirse a las normas convencionales de conducta,
de ética y de cortesía.
• El envío de correos masivos a todo el personal de Banco sólo podrá ser

efectuado por las Gerencias y/o personal autorizado.
• Está prohibido el envío de archivos ejecutables, videos y música.

POL-RIE-017
5.2.4.6. Servicios De Internet
• El acceso a internet, deberá ser otorgado únicamente a aquellos

colaboradores del Banco que tienen una necesidad justificada en razón a la
naturaleza y alcance de las funciones que realiza.
• Se otorgará acceso sólo a las páginas web que estén relacionadas con las
funciones inherentes al puesto de trabajo del empleado, información general o
para desarrollo profesional. Dicho acceso se definirá en coordinación con la
gerencia respectiva y con la aprobación del Subgerente de Seguridad de la
Información. La posibilidad de conectarse a un sitio específico de la Internet
no implica que se encuentre autorizado.
• Está prohibido descargar software, música (de diferentes formatos),

imágenes, videos e información no relacionada con la labor encomendada
con la empresa.
• La Subgerencia de Seguridad de la Información tendrá la facultad de restringir

total o parcialmente el acceso a sitios Web, la descarga de ciertos tipos de
archivos y/o el propio servicio de Internet a fin de garantizar el óptimo uso de
los recursos, mejorar la performance de la red, por seguridad y/o cuando
considere conveniente.
• La Subgerencia de Seguridad de la Información deberá supervisar y mantener

una lista de los elementos bloqueados de internet, pudiendo expandir esta
lista según su criterio. Dicha lista de restricción deberá ser de conocimiento
de las gerencias de área y de los propietarios de la información.
• Los colaboradores, contratistas y externos del Banco no deben emplear

Internet u otros sistemas internos de información de manera que resulte
afectando la productividad de otros colaboradores. Tampoco deben divulgar
activos con clasificación RESTRINGIDO en redes públicas, a menos que
hayan obtenido la autorización del Propietario de Activo (Owner).
5.2.5.Control De Accesos
5.2.5.1. El acceso a los aplicativos formales (APP) deberá generarse bajo el esquema de
Perfiles de Usuario, de acuerdo con las funciones que éste realice en la empresa;
el esquema de perfiles será determinado por el Propietario, evaluado por la
Subgerencia de Seguridad de la Información y administrado por la Gerencia de
Área de Sistemas. El acceso a los aplicativos informales (APPnoIT) será
determinado por el Propietario y brindado directamente por el responsable de la
seguridad del aplicativo.
5.2.5.2. El acceso de los usuarios a los aplicativos formales (APP) sólo podrá generarse a
través del uso de una cuenta con una contraseña o “password” de uso
estrictamente personal, asumiendo el titular del mismo, la responsabilidad de las
POL-RIE-017
acciones realizadas con éste. Se deben de seguir estas consideraciones para

elaborar las contraseñas:
• Las contraseñas de acceso a los Sistemas de Información son personales e
intransferibles; siendo el colaborador el único responsable de las mismas.
• Las contraseñas tendrán características particulares definidas y deberán ser
cambiadas periódicamente por el personal.
• El Subgerente de Seguridad Física guardará en sobre cerrado la contraseña
actualizada de los servidores de producción que incluyen: Software Base,
Manejadores de Base de Datos y Aplicaciones.
5.2.5.3. La Subgerencia de Seguridad de la Información efectuará el monitoreo de las

alertas, informando de los hallazgos al Comité Gerencial de Riesgo Operacional,
Continuidad del Negocio y Seguridad de la Información.
5.2.5.4. Los aplicativos formales (APP) deberán contar con un módulo de auditoría, con la
capacidad para registrar las transacciones identificadas como críticas por la
Gerencia Propietaria, basados principalmente en los siguientes criterios:
• Ingreso y salida al sistema.
• Inserción, modificación y eliminación de registros correspondientes a
procesos críticos.
5.2.5.5. Se establecerá una configuración estándar de seguridad para los equipos

asignados a los usuarios. Cualquier necesidad y requerimiento de software, será
canalizado por la Gerencia del Área correspondiente a la Gerencia de Área de
Sistemas, no permitiéndose por lo tanto la instalación de software por personal
ajeno a la Gerencia en mención.
5.2.5.6. Se deberá contar con un respaldo de la información sensible, en el período de

tiempo establecido por el organismo supervisor y según la criticidad establecida
por la Gerencia Propietaria.
5.2.5.7. Para asegurar que todos los usuarios (internos, externos y temporales) y su
actividad a través de las aplicaciones de negocio, ambientes de Tecnología de
Información, operación de sistemas y desarrollo y mantenimiento de aplicaciones
sean identificables, todas las cuentas de acceso deberán ser personalizadas.
5.2.5.8. Existen cuentas internas para la administración de las aplicaciones y las interfaces
entre sistemas que utilizan usuarios genéricos; este tipo de usuarios están
exceptuados de lo mencionado en el ítem anterior. Además están exceptuados de
las Políticas de Seguridad en Sistemas de Información y las Políticas de Seguridad
de Infraestructura Tecnológica; sólo deberán cumplir con el número máximo de
intentos de contraseña errada y la longitud mínima de la contraseña establecida.
5.2.5.9. Todos los cambios a los perfiles ya asignados deberán ser aprobados por el Jefe
Inmediato del solicitante, aprobado por los líderes usuarios e implementado por la
persona responsable de la seguridad del aplicativo; y los privilegios serán
otorgados de acuerdo a las funciones encargadas. Los usuarios autorizados,
incluyendo personal de terceros, deben contar con un código de identificación y
una contraseña, y está estrictamente prohibido compartirlas.

POL-RIE-017
5.2.5.10. Todos los colaboradores tendrán acceso a los recursos lógicos y físicos mínimos
necesarios para cumplir con las labores propias a su rol, asegurándose todo el
tiempo una adecuada segregación de funciones durante el ciclo de vida del
empleado.
5.2.5.11. Para aquellos sistemas donde el acceso se ofrece directamente a clientes o

personas que no son empleados del banco, obligatoriamente se considerará la
existencia de un código de identificación único por usuario y se les proveerá de
guías explícitas sobre su uso y responsabilidades.
5.2.5.12. Los sistemas de información deberán proveer las facilidades que permitan a
unidades internas o externas al banco realizar un análisis forense (investigación
ante algún incidente).
5.2.6. Adquisición y Desarrollo de Sistemas de Información
5.2.6.1. Los cambios, mantenimientos, modificaciones o desarrollo de aplicaciones,

siempre deberán realizarse en un ambiente creado especialmente para este fin,
nunca y bajo ningún motivo deberán ser realizadas directamente en el ambiente
de Producción.
5.2.6.2. Las correcciones o actualizaciones a los programas se realizarán siempre bajo los
procedimientos establecidos por el Área de Sistemas, contando con los
requerimientos del área usuaria.
5.2.6.3. El código de programación desarrollado por los colaboradores en el cumplimiento

de sus funciones o mediante la contratación de servicios de terceros, es propiedad
del Banco, siendo por lo tanto indebida su utilización fuera del ámbito de la
empresa.
5.2.6.4. El enmascaramiento de datos se debe aplicar en todos los ambientes no

productivos, considerando datos personales de clientes e información sensible.
5.2.6.5. La Subgerencia de Seguridad de la Información participará en el proceso de

adquisición e implementación de sistemas de información, según la metodología
de evaluación de cambios significativos.
5.2.7.Gestión de Incidentes
5.2.7.1. Los colaboradores del Banco están en la obligación de reportar al Subgerencia de

Seguridad de la Información los diferentes incidentes de seguridad de información,
tales como fallos en seguridad, amenazas, debilidades de los sistemas o mal
funcionamiento de los mismos y demás incidentes que atenten con la
confidencialidad, disponibilidad, integridad y privacidad la de información del
Banco.
5.2.7.2. La Subgerencia de Seguridad de la Información mantendrá un registro de los

incidentes reportados, generando además la evaluación de las causas que lo
determinaron y los posibles controles que deben implementarse.

POL-RIE-017
5.2.8.Continuidad del Negocio
5.2.8.1. La Gerencia de Área de Sistemas dispondrá de medios para proteger los equipos
ante catástrofes y siniestros, de acuerdo con la criticidad de cada uno de ellos. No
obstante, deberán existir procedimientos de contingencia en las áreas de negocios
en caso los recursos tecnológicos fallen o estén fuera de servicio. Dichos planes
deberán estar formalmente documentados y probados al menos una vez al año.
5.2.9.Cumplimiento
5.2.9.1. La Subgerencia de Seguridad de la Información deberá realizar revisiones

periódicas del cumplimiento de la normativa de seguridad de la información y
reportar al Comité Gerencial de Riesgo Operacional, Continuidad del Negocio y
Seguridad de la Información, y al Comité de Administración de Riesgos los
resultados de dichas revisiones.
6. REGISTROS
NO APLICA
7. ANEXOS
Código Versión Descripción

Uso Aceptable de Recursos y Medios de
ANX-MIB-046 1
Comunicación
8. CONTROL DE CAMBIOS
Modificaciones
de
Actualizado por
Nº de Versión
Generalidades
Impactada
Solicitante
Descripción del Cambio

Vigencia
Área(s)
Área(s)
Registros
Fecha
Políticas
Anexos
Otros
(s)
(s)


Política General de Seguridad de La Información

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Política General de Seguridad de La Información

Hochgeladen von

Copyright:

Verfügbare Formate

POLÍTICA GENERAL DE

© COPYRIGHT MIBANCO – TODOS LOS DERECHOS RESERVADOS

La versión vigente de este documento es la que se encuentra en la intranet.

El presente documento es aplicable a todos los procesos del Banco.

• Resolución SBS N° 37-2008 Reglamento de la Gestión Integral de Riesgos.

• Manual de Organización y Funciones de Mibanco

4.1.2. Seguridad Lógica: Especificaciones de uso de software, la protección de los datos, la

4.1.3. Infraestructura Tecnológica: Comprende el software y hardware que gestiona el Área de

La versión vigente de este documento es la que se encuentra en la intranet.

4.1.5. Activo de Software: Software de aplicación (Aplicativos o Sistemas de Información)

4.1.6. Propietario de Activo: Es el responsable de asegurar que los activos de información y de

4.1.8. Sistema de Gestión de Seguridad de la Información (SGSI): Parte de un sistema de

Se establece la siguiente estructura organizacional para administrar el Sistema de Gestión de

4.2.1. Gerente General

4.2.1.2. Asegurar la difusión de las medidas de seguridad aprobadas en el Directorio o

4.2.2. Comité de Administración de Riesgos

4.2.2.1. Aprobar las Políticas Generales de Seguridad de la información, propuestas por la

4.2.2.2. Aprobar el Plan de tratamiento de riesgos de la información y los cambios al

4.2.2.3. Aprobar los diferentes Planes Anuales de Seguridad de la Información vinculados

4.2.2.4. Informar al Directorio sobre las medidas preventivas y correctivas implementadas,

4.2.3. Comité Gerencial de Riesgo Operacional, Continuidad del Negocio y Seguridad de la

4.2.3.1. Revisar las Políticas Generales de Seguridad de la información, propuestas por la

La versión vigente de este documento es la que se encuentra en la intranet.

4.2.3.2. Revisar el Plan de tratamiento de riesgos de la información y los cambios al

4.2.3.3. Revisar las propuestas y planes de mejora sobre Seguridad de la Información.

4.2.3.4. Proporcionar los recursos necesarios para desarrollar, implementar, operar y

4.2.3.5. Analizar y evaluar el impacto de los eventos relevantes relacionados con

4.2.3.6. Supervisar el alineamiento con el programa corporativo de Seguridad de la

4.2.3.7. Revisar la planificación, seguimiento y próximas actividades de los Planes

4.2.3.9. Desempeñar las funciones equivalentes al Comité de Seguridad de la Información,

4.2.4. Propietario de Activo

4.2.4.1. Identificar y clasificar los activos de información y de software de su División.

4.2.4.3. Establecer los requerimientos de seguridad de sus activos basados en un análisis

4.2.4.4. Supervisar la implementación de los mecanismos de seguridad definidos.

4.2.5. Custodio de Activo:

4.2.5.1. Apoyar al propietario de activo en el proceso de identificación, clasificación y

4.2.5.2. Apoyar al propietario de activo en la evaluación de riesgos de seguridad de la

4.2.5.3. Apoyar al propietario operando las medidas de seguridad relacionadas al activo de

4.2.6. Gerente de División de Riesgos

La versión vigente de este documento es la que se encuentra en la intranet.

4.2.6.2. Verificar el cumplimiento de las normas pertinentes al Sistema de Gestión de

4.2.6.3. Elaborar una metodología de evaluación de riesgos de Seguridad de la

4.2.6.4. Evaluar los riesgos de Seguridad de la Información de los activos de la empresa.

4.2.6.5. Elaborar y actualizar el mapa de riesgos de Seguridad de la Información del

4.2.6.6. Identificar y evaluar los riesgos de Seguridad de la Información, basados en una

4.2.6.7. Establecer los lineamientos para el tratamiento de los riesgos de Seguridad de la

4.2.6.8. Elaborar el Plan de tratamiento de riesgos de Seguridad de la Información y

4.2.6.9. Monitorear la vigencia de las Políticas de Seguridad de la Información, así como

4.2.6.10. Identificar y evaluar los riesgos de Seguridad de la Información de los

4.2.6.13. Garantizar la gestión de la Seguridad de la Información a todo nivel en la

4.2.6.14. Presentar al Comité de Administración de Riesgos el Plan Anual de Seguridad de

4.2.6.15. Garantizar la implementación de las medidas de Seguridad de la Información que

4.2.6.16. Garantizar el monitoreo por parte de la Subgerencia de Seguridad de la

La versión vigente de este documento es la que se encuentra en la intranet.

4.2.7. Sub Gerente de Seguridad de la Información

4.2.7.3. Coordinar el diseño y la implementación de los mecanismos de Seguridad de la

4.2.7.4. Coordinar la revisión y aprobación de los mecanismos de Seguridad de la

4.2.7.5. Monitorear el cumplimiento y la efectividad de las políticas y mecanismos de

4.2.7.6. Centralizar, evaluar las acciones inmediatas adoptadas y determinar acciones

4.2.7.8. Informar al Comité de Administración de Riesgos los resultados de la gestión del

4.2.7.9. Mantener actualizada la estructura documentaria del Sistema de Gestión de

4.2.7.10. Proponer las modificaciones o actualizaciones en las políticas, directivas y

4.2.7.11. Elaborar el Plan Anual de Seguridad de la Información y remitirlo al Gerente de

4.2.7.12. Asegurar, en coordinación con las áreas responsables, la gestión de la seguridad