Norma Legal Oficial del día 28 de febrero del año 2002 (28/02/2002)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 80
Pag. 218446
NORMAS LEGALES
MORDAZA, jueves 28 de febrero de 2002
c. Seleccion de controles y objetivos de control para reducir, eliminar o evitar los riesgos identificados, indicando las razones de su inclusion o exclusion. d. Plan de implementacion de los controles y procedimientos de revision periodicos. e. Mantenimiento de registros adecuados que permitan verificar el cumplimiento de las normas, estandares, politicas, procedimientos y otros definidos por la empresa, asi como mantener pistas adecuadas de auditoria. Las empresas bancarias y las empresas de operaciones multiples que accedan al modulo 3 de operaciones a que se refiere el Articulo 290º de la Ley General deberan contar con una funcion de seguridad a dedicacion exclusiva. Subcontratacion (outsourcing) Articulo 6º.- La empresa es responsable y debe verificar que se mantengan las caracteristicas de seguridad de la informacion contempladas en la presente MORDAZA, incluso cuando ciertas funciones o procesos criticos puedan ser objeto de una subcontratacion. Para ello se tendra en cuenta lo dispuesto en la Primera Disposicion Final y Transitoria del Reglamento. Asimismo, la empresa debe asegurarse y verificar que el proveedor del servicio sea capaz de aislar el procesamiento y la informacion objeto de la subcontratacion, en todo momento y bajo cualquier circunstancia. En caso que las empresas deseen realizar su procesamiento principal en el exterior, requeriran de la autorizacion previa y expresa de esta Superintendencia. Las empresas que a la fecha de vigencia de la presente MORDAZA se encontrasen en la situacion MORDAZA senalada, deberan solicitar la autorizacion correspondiente. Para la evaluacion de estas autorizaciones, las empresas deberan presentar documentacion que sustente lo siguiente: a) La forma en que la empresa asegurara el cumplimiento de la presente circular y la Primera Disposicion Final y Transitoria del Reglamento. b) La empresa, asi como los representantes de quienes brindaran el servicio de procesamiento en el exterior, deberan asegurar adecuado acceso a la informacion con fines de supervision, en tiempos razonables y a solo requerimiento. Aspectos de la seguridad de informacion Articulo 7º.- Para la administracion de la seguridad de la informacion, las empresas deberan tomar en consideracion los siguientes aspectos: 7.1 Seguridad logica Las empresas deben definir una politica para el control de accesos, que incluya los criterios para la concesion y administracion de los accesos a los sistemas de informacion, redes y sistemas operativos, asi como los derechos y atributos que se confieren. Entre otros aspectos, debe contemplarse lo siguiente: a) Procedimientos formales para la concesion, administracion de derechos y perfiles, asi como la revocacion de usuarios. Revisiones periodicas deben efectuarse sobre los derechos concedidos a los usuarios. b) Los usuarios deben contar con una identificacion para su uso personal, de tal manera que las posibles responsabilidades puedan ser seguidas e identificadas. c) Controles especiales sobre utilidades del sistema y herramientas de auditoria. d) Seguimiento sobre el acceso y uso de los sistemas y otras instalaciones fisicas, para detectar actividades no autorizadas. e) Usuarios remotos y computacion movil. 7.2 Seguridad de personal Las empresas deben definir procedimientos para reducir los riesgos asociados al error humano, robo, fraude o mal uso de activos, vinculados al riesgo de tecnologia de informacion. Al establecer estos procedimientos, debera tomarse en consideracion, entre otros aspectos, la definicion de roles y responsabilidades establecidos sobre la seguridad de informacion, verificacion de antecedentes, politicas de rotacion y vacaciones, y entrenamiento. 7.3 Seguridad fisica y ambiental Las empresas deben definir controles fisicos al acceso, dano o interceptacion de informacion. El alcance inclui-
ra las instalaciones fisicas, areas de trabajo, equipamiento, cableado, entre otros bienes fisicos susceptibles a riesgos de seguridad. Se definiran medidas adicionales para las areas de trabajo con necesidades especiales de seguridad, como los centros de procesamiento, entre otras zonas en que se maneje informacion que requiera de alto nivel de proteccion. 7.4 Clasificacion de seguridad Las empresas deben realizar un inventario periodico de activos asociados a la tecnologia de informacion que tenga por objetivo proveer la base para una posterior clasificacion de seguridad de dichos activos. Esta clasificacion debe indicar el nivel de riesgo existente para la empresa en caso de MORDAZA sobre la seguridad, asi como las medidas apropiadas de control que deben asociarse a las clasificaciones. Administracion de las operaciones y comunicaciones Articulo 8º.- Las empresas deben establecer medidas de administracion de las operaciones y comunicaciones que entre otros aspectos contendran lo siguiente: - Control sobre los cambios en el ambiente operativo, que incluye cambios en los sistemas de informacion, las instalaciones de procesamiento y los procedimientos. - Control sobre los cambios del ambiente de desarrollo al de produccion. - Separacion de funciones para reducir el riesgo de error o fraude. - Separacion del ambiente de produccion y el de desarrollo. - Controles preventivos y de deteccion sobre el uso de software de procedencia dudosa, virus y otros similares. - Seguridad sobre las redes, medios de almacenamiento y documentacion de sistemas. - Seguridad sobre correo electronico. - Seguridad sobre banca electronica. Desarrollo y mantenimiento de sistemas informaticos - Requerimientos de seguridad Articulo 9º.- Para la administracion de la seguridad en el desarrollo y mantenimiento de sistemas informaticos, se debe tomar en cuenta, entre otros, los siguientes criterios: a) Incluir en el analisis de requerimientos para nuevos sistemas o mejoras a los sistemas actuales, controles sobre el ingreso de informacion, el procesamiento y la informacion de salida. b) Aplicar tecnicas de encriptacion sobre la informacion critica que debe ser protegida. c) Definir controles sobre la implementacion de aplicaciones MORDAZA del ingreso a produccion. d) Controlar el acceso a las librerias de programas fuente . e) Mantener un estricto y formal control de cambios, que sera debidamente apoyado por sistemas informaticos en el caso de ambientes complejos o con alto numero de cambios. Procedimientos de respaldo Articulo 10º.- Las empresas deben establecer procedimientos de respaldo regulares y periodicamente validados. Estos procedimientos deben incluir las medidas necesarias para asegurar que la informacion esencial pueda ser recuperada en caso de MORDAZA en los medios o luego de un desastre. Estas medidas seran coherentes con lo requerido en el Plan de Continuidad. La empresa debe conservar la informacion de respaldo y los procedimientos de restauracion en una ubicacion remota, a suficiente distancia para no verse comprometida ante un dano en el centro principal de procesamiento. Planeamiento para la continuidad de negocios Articulo 11º.- Las empresas, bajo responsabilidad de la Gerencia y el Directorio, deben desarrollar y mantener un "Plan de Continuidad de Negocios" (PCN), que tendra como objetivo asegurar un nivel aceptable de operatividad de los procesos criticos, ante fallas mayores internas o externas. Criterios para el diseno e implementacion del Plan de Continuidad de Negocios Articulo 12º.- Para el desarrollo del PCN se debe realizar previamente una evaluacion de riesgos asociados a