The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
Published by , 2017-06-01 19:11:15

7319

7319

MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

CONTROL DE VERSIONES

Documento que sustenta el cambio Versión Acuerdo de N° Fecha de Fecha de
294-2012 Aprobación Vigencia
MEMO N° 02172-2012-G-CMACHYO Comité de Gerencia
(15/03/2012) Notas de la Versión: 14/03/2012 16/03/2012

01

 Ninguna.

Comité de Gerencia 1050-2012 01/09/2012 04/09/2012

MEMO N° 06148-2012-G-CMACHYO 02 Notas de la Versión:
(03/09/2012)  Alineamiento del documento normativo a la nueva Estructura

Orgánica.

Comité de Gerencia 0030-2013 10/01/2013 14/01/2013

Notas de la Versión:

 Se actualizó el gráfico de la Organización de la Seguridad de la

Información en alineamiento a la Estructura Orgánica vigente.

MEMO N° 00348-2013-G-CMACHYO  Se actualizaron los cuadros de Identificación de Riesgos y
(12/01/2013)
03 Evaluación de Riesgos en alineamiento al Manual de Gestión de
Riesgo Operacional vigente.

 Mediante MEMO N° 02612-2013-G-CMACHYO (Acuerdo de
Comité de Gerencia N° 0417-2013, vigente desde el 01/04/2013)
se modificó la denominación del Responsable de Actualización
y/o Unidad Revisora a nivel de la carátula en alineamiento a la
Estructura Orgánica vigente, sin cambio de versión.

Comité de Gerencia 1459-2014 30/09/2014 09/10/2014

MEMO N° 09238-2014-G-CMACHYO 04 Notas de la Versión: Cambio mínimo
(07/10/2014)  A nivel del numeral: 9.4.1.1. (literal a y e), 9.4.2., 9.4.3., 9.4.4. y

9.4.5.

MEMO Nº 03575-2016-G-CMACHYO Comité de Gerencia 0193-2016 25/02/2016 21/03/2016
(18/03/2016) 05 Notas de la Versión: Cambio mínimo:

 A nivel del numeral 3.

RESPONSABLE DE ACTUALIZACIÓN: REVISADO POR:
Departamento de Seguridad Integral Departamento de Gestión de Procesos y Proyectos

MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

CAPÍTULO I
GENERALIDADES

SECCIÓN I
DEL OBJETIVO Y ALCANCE

1. OBJETIVO
Establecer las acciones a realizar para efectuar una adecuada Gestión de la Seguridad de la
Información en la CMAC HUANCAYO S.A., en adelante La Caja.

2. ALCANCE
El presente documento es de carácter institucional y de aplicación a todos los Directores,
Gerentes, Funcionarios y colaboradores de La Caja.

3. BASE LEGAL
a. Resolución SBS Nº 2116-2009. Reglamento para la Gestión del Riesgo Operacional.
b. Circular SBS Nº G-140-2009. Gestión de la Seguridad de la Información.
c. Circular SBS Nº G-139-2009. Gestión de la Continuidad del Negocio.
d. Norma Técnica Peruana NTP – ISO/IEC 17799:2007. Código de Buenas Prácticas para la
Gestión de la Seguridad de la Información. Resolución Ministerial N° 246-2007-PCM.
e. Norma ISO/IEC 27001:2005 Sistema de Gestión de Seguridad de la Información
f. Ley Nª 29733 - Ley de Protección de Datos Personales.
g. D.S. 003-2013-JUS Reglamento de la Ley 29733 Ley de Protección de Datos Personales.

4. DEFINICIONES
a. Activo: Cualquier cosa que tenga valor para la organización.

b. Activo de Información: Aquellos activos de La Caja que procesan, contienen, almacenan o
transmiten Información.

c. Custodio del Activo de Información: Es el responsable de mantener los niveles de
protección adecuados en base a las especificaciones del propietario de información.

d. Propietario de la Información: Es el Jefe de Unidad Organizacional con la responsabilidad
gerencial aprobada de controlar la producción, desarrollo, mantenimiento, uso y seguridad de
la información y activos asociados.

e. Control: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos,
prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de
gestión o de naturaleza legal.

f. Seguridad de la Información: Preservación de Confidencialidad, Integridad y Disponibilidad
de la información.

g. Evento de seguridad de la información: Cualquier evento de seguridad de la información
es una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible
falla en la política de seguridad de la información o falla en las salvaguardas, o una situación
previamente desconocida que puede ser relevante para la seguridad.

h. Incidente de seguridad de la información: Un incidente de seguridad de la información es
indicado por un solo evento o una serie de eventos inesperados de seguridad de la
información que tienen una probabilidad significativa de comprometer las operaciones
comerciales y amenazar la seguridad de la información.

i. Amenaza: Una causa potencial de un incidente no-deseado, el cual puede resultar en daño
a un sistema u organización.

j. Vulnerabilidad: La debilidad de un activo o grupo de activos que puede ser explotada por
una o más amenazas.

k. Modelo PHVA: Conocido como "Círculo de Deming” (de Edwards Deming), es una estrategia
de mejora continua de la calidad en cuatro pasos: Planificar, Hacer, Verificar, Actuar.

Restringida: Está prohibida la reproducción total o parcial del contenido de este documento sin permiso de la

CAJA HUANCAYO.

VERSIÓN 05 Página 2 de 11 Aprobado por Acuerdo de Comité de Gerencia N° 0193-2016
Vigente desde el 21 de marzo del 2016

MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

CAPÍTULO II
DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

5. DEFINICIÓN
El Sistema de Gestión de Seguridad de la Información (SGSI) es parte del Sistema de
Gestión de La CAJA, el cual está basado en un enfoque de riesgos del negocio, para:
establecer, implementar, operar, monitorear, mantener y mejorar la Seguridad de la
Información. Este sistema ayuda a establecer políticas, procedimientos y controles en
relación a los objetivos de negocio de La Caja, con objeto de mantener siempre el riesgo
por debajo del nivel asumible por La Caja.
Gráfico N° 1
Modelo PHVA del Sistema de Gestión de Seguridad de la Información

6. OBJETIVOS
Objetivo General:
Garantizar que los riesgos asociados a la Seguridad de la Información sean conocidos,
asumidos, gestionados y minimizados por La Caja de una forma documentada, sistemática,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan, los riesgos, el
entorno y las tecnologías, en concordancia con las Políticas de Seguridad y planes
estratégicos de La Caja.

Objetivos específicos:
- Establecer un marco metodológico para un SGSI.
- Gestionar los Riesgos
- Adoptar controles proporcionales a los riesgos percibidos.
- Documentar políticas, procedimientos, controles y tratamiento de riegos.
- Formalizar, realizar el seguimiento y revisar los controles y riesgos.
- Revisar y mejorar continuamente el SGSI.

7. MARCO Y CONTEXTO NORMATIVO
El Sistema de Gestión de Seguridad de la Información de La Caja se basa en los criterios
mínimo establecidos en la Circular N° G-140 - 2009 de la SBS y la Norma Técnica Peruana
NTP - ISO/IEC 17799:2007. Asimismo toma como referencia el estándar ISO/IEC 27001.
Los lineamientos metodológicos y los requerimientos de la norma ISO/IEC 27001 son
propuestos bajo el enfoque metodológico del Ciclo de Deming: Planificar - Hacer - Verificar
- Actuar (PHVA).
También se tomarán en cuenta otros estándares y recomendaciones, como ITIL y COBIT.

Restringida: Está prohibida la reproducción total o parcial del contenido de este documento sin permiso de la

CAJA HUANCAYO.

VERSIÓN 05 Página 3 de 11 Aprobado por Acuerdo de Comité de Gerencia N° 0193-2016
Vigente desde el 21 de marzo del 2016

MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

8. DOCUMENTACIÓN DEL SGSI EN LA CAJA
 Política de Seguridad: Documento normativo que establece los lineamientos para una
adecuada Gestión de Seguridad de la Información en la CAJA HUANCAYO, el cual se
denomina “Política para la Seguridad de la Información”; este documento dirige todo el
Sistema de Seguridad de la Información, determina las intenciones, alcance, objetivos,
responsabilidades y políticas principales.
 Procedimientos: Documentos en el nivel operativo, que aseguran que se realicen de
forma eficaz la planificación, operación y control de los procesos de seguridad de la
información.
 Manuales, Instrucciones, checklists, formularios: Documentos que describen cómo
se realizan las tareas y las actividades específicas relacionadas con la Seguridad de la
Información.
 Registros: Documentos que proporcionan una evidencia objetiva del cumplimiento de
los requisitos del SGSI; están asociados a documentos de los otros tres niveles como
output que demuestra que se ha cumplido lo indicado en los mismos.
Gráfico N° 2
Documentación del SGSI de La Caja

9. FASES DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

FASE I: ESTABLECER EL SGSI

9.1 DEFINICIÓN DEL ALCANCE
El SGSI abarca todos los procesos que tiene La Caja y que se encuentran
establecidos en el Manual de Gestión de Procesos, el alcance contempla también la
relación que estos tienen con los clientes, proveedores, colaboradores y entes
reguladores, así se detalla en el siguiente gráfico.
Gráfico N° 3
Alcance del Sistema de Gestión de Seguridad de la Información (SGSI)

Restringida: Está prohibida la reproducción total o parcial del contenido de este documento sin permiso de la

CAJA HUANCAYO.

VERSIÓN 05 Página 4 de 11 Aprobado por Acuerdo de Comité de Gerencia N° 0193-2016
Vigente desde el 21 de marzo del 2016

MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

CLIENTES REQUERIMIENTOS PROCESOS ESTRATÉGICOS
PROVEEDORES DE SEGURIDAD
COLABORADORES PROCESOS DE CREACIÓN
ENTES REGULADORES DE VALOR

PROCESOS DE SOPORTE

9.2 POLÍTICA DE SEGURIDAD
La CAJA cuenta con un documento normativo denominado “Política para la
Seguridad de la Información”, que tiene como finalidad proteger la información que
se genera en La Caja, salvaguardando su confidencialidad, integridad y
disponibilidad, minimizando los riesgos a los que está expuesta la información.

9.3 ORGANIZACIÓN DE LA SEGURIDAD
La CAJA ha establecido una estructura organizacional para una adecuada gestión de
Seguridad de la Información en todos sus niveles, las cuales se encuentran
especificados en la Política para la Seguridad de la Información; desde el Directorio
hasta los colaboradores tiene roles y responsabilidades con respecto a la protección
de la Información de La CAJA.

Gráfico N° 4
Organización de la Seguridad de la Información

9.4 GESTIÓN DE RIESGOS
El Manual de Gestión del Riesgo Operacional contiene lineamientos para identificar,
evaluar, tratar, controlar, monitorear los riesgos operacionales en los procesos de La

Restringida: Está prohibida la reproducción total o parcial del contenido de este documento sin permiso de la

CAJA HUANCAYO.

VERSIÓN 05 Página 5 de 11 Aprobado por Acuerdo de Comité de Gerencia N° 0193-2016
Vigente desde el 21 de marzo del 2016

MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Caja. El SGSI adopta una metodología que es consistente con la Metodología de
Gestión de Riesgo Operacional.

9.4.1 Inventario de Activos de Información
Los Jefes de las unidades organizacionales identifican los activos de
información de sus respectivas áreas, aquellos activos que procesan,
contienen, almacenan o transmiten Información.

9.4.1.1 Tipo de activos

a) Información
Activo abstracto que será almacenado en equipos o soportes de
información (normalmente agrupado en forma de bases de datos),
pueden ser información electrónica o impresa.

Para los activos de tipo Información, se especifica el medio en el que
se encuentra (Formato físico, Documentos Electrónicos, Base de
Datos, Aplicaciones, Medios Removibles u Otros).

b) Servicios

Incluye servicios de comunicaciones, pero siempre centrándose en que

son medios de transporte que llevan datos de un sitio a otro.

Ejemplos

• Correo electrónico • Internet

• Transferencia de archivos (FTP) • Interconexión de Agencias

c) Software (Aplicaciones)

Las aplicaciones gestionan, analizan y transforman los datos

permitiendo la explotación de los datos e información.

Ejemplos
• Sistema de Gestión de Base de Datos
• Sistema Operativo para servidores
• Software Ofimática (office)
• Vitalis Clientes, Vitalis Créditos

d) Hardware (Equipos informáticos y de comunicaciones)

Activos que son depositarios temporales o permanentes de los datos,

Soporte de ejecución de las aplicaciones informáticas o responsables

del procesado o la transmisión de datos.

Ejemplos

• Firewall • Router

• Switch de core • Módems

• Servidor de Base de Datos • Servidor Exchange

• Medios de impresión (impresora, servidores de impresión)

e) Infraestructura / equipamiento

Se consideran otros equipos que sirven de soporte a los sistemas de

tecnología de la información, sin estar directamente relacionados con

datos.

Ejemplos
• Sistemas de alimentación ininterrumpida
• Generadores eléctricos
• Cableado de red de datos

Restringida: Está prohibida la reproducción total o parcial del contenido de este documento sin permiso de la

CAJA HUANCAYO.

VERSIÓN 05 Página 6 de 11 Aprobado por Acuerdo de Comité de Gerencia N° 0193-2016
Vigente desde el 21 de marzo del 2016

MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

• Mobiliario (gabinetes)
• Centro de cómputo

Una vez identificado el tipo de activo se debe designar el propietario del activo,
el cual viene a ser el Propietario de la Información, así como el custodio del
activo, quien se encarga de mantener los niveles de protección adecuados en
base a las especificaciones del propietario de información. Así tenemos el
siguiente cuadro.

Cuadro N° 1: Inventario de Activos de Información

Activo Alcance Infor Format TIPO DE ACTIVO Servi Soft Hard Infra Propietari Custodio
ma o Físico Medio de Almacenamiento cios ware ware es o del del
Base de datos de Contiene ción truct Activo
clientes: información de X (1) Correos Docum Aplic Medios Otro X X X ura activo
CMACHYOCLI clientes X Electrón entos acio removib s (6) X Oficial de
Base de datos de icos (2) Electró nes les (5) X Atención Jefe de
Contabilidad: Contiene X X al Usuario T.I.
SCFCMACHYO Información nicos (4) X
Contable de la X (3) Jefe de Jefe de
VITALIS - Logística Institución. Contabilid T.I.
Contiene
VITALIS - Personal Información del ad Jefe de
proceso Logístico T.I.
Manual de Análisis Contiene Jefe de
y Diseño Información del Logística Jefe de
proceso de T.I.
Servidor de Correo Gestión del Jefe de
Electrónico Talento Humano GTH Jefe de
Documentación T.I.
Servicio de Internet de los módulos Jefe de
Windows Server - del VITALIS T.I. Jefe de
Enterprise Para el servicio de T.I.
Microsoft Office mensajería Jefe de
electrónica T.I. Jefe de
Grupo Electrógeno Institucional T.I.
Servicio de Jefe de
Expediente de internet T.I. Jefe de
Créditos T.I.
Software de Jefe de
Servidor T.I. Jefe de
T.I.
Software de Jefe de
Aplicación T.I. Jefe de
Abastece de T.I.
energía en caso Jefe de
de cortes de T.I. Administr
energía eléctrica ador
Contiene Sub
información Gerencia
impresa de
expediente de
crediticio del Créditos
cliente

9.4.2 Clasificación y Criticidad de Activos de Información
Una vez identificado la información y los formatos en los que se encuentra, se
deberá clasificar la información de acuerdo a lo establecido en la Política para
la Seguridad de la Información, en el numeral 2.3. Clasificación y control de
activos de información.

Restringida: Está prohibida la reproducción total o parcial del contenido de este documento sin permiso de la

CAJA HUANCAYO.

VERSIÓN 05 Página 7 de 11 Aprobado por Acuerdo de Comité de Gerencia N° 0193-2016
Vigente desde el 21 de marzo del 2016

MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Los propietarios de información deben evaluar los activos de información en
función a sus requisitos de Confidencialidad, Integridad y Disponibilidad, para
lo cual se dispone de la siguiente tabla:

Escala Confidencialidad Integridad Disponibilidad

Información Activo cuya modificación, inexactitud o Activo esencial para la institución, una
clasificada
3 como daño no autorizado no puede repararse pequeña o grande interrupción
y/o reemplazarse generando impactos afectaría severamente al proceso o
confidencial.
críticos en el proceso y/o negocio. negocio.

Activo necesario para las operaciones

Activo cuya modificación, inexactitud o de la institución durante las horas
normales de trabajo. Pequeñas
Información daño no autorizado puede repararse
2 clasificada como y/o reemplazarse rápidamente y puede interrupciones no consecutivas son
aceptables. Pero interrupciones
Restringida. generar un impacto moderado para La
Caja. grandes ocasionarían pérdidas

moderadas o en impactos negativos

serios.

Activo cuya modificación, inexactitud o

Información daño no autorizado puede repararse Activo cuya inaccesibilidad corta o

1 clasificada como y/o reemplazarse rápidamente extensa afecta levemente o no afecta la

pública. generando un impacto leve o ninguno operatoria del proceso o negocio.

en el proceso y/o negocio.

Para determinar la criticidad de la Información, se deberá tener en cuenta lo
siguiente:

CRITICIDAD DE LA INFORMACIÓN

BAJA Ninguno de los valores asignados supera el 1.

MEDIA Alguno de los valores asignados es 2 pero ninguno es mayor que este.

ALTA Alguno de los valores asignados es 3.

Cuadro N° 2: Clasificación y Criticidad de Activos de Información

CRITICIDAD

ACTIVO DE INFORMACIÓN CLASIFICACION CONFIDEN INTEGRI DISPONIBI CRITICIDAD
CIALIDAD
Base de datos de clientes 3 DAD LIDAD
CLIMCLIENTES
Base de datos de Contabilidad 3 3 3 Alta
SCFCMACHYO 3
Fuente de Desarrollo y Producción 3 2 Alta

Aprobaciones - VITALIS 2 3 3 Alta
2 2 Media
Administración - VITALIS 2 2 2 Media
2 2 Media
Manual de Análisis y Diseño 2 2 2 Media
3 3 Alta
Manual de Usuario 2 3 3 Alta
2 2 Media
Servidor Web 3 3 3 Alta
3 3 Alta
Servidor Transaccional 3
3 3 Alta
Servidor de Pruebas 2

Servidor de Correo Electrónico 3

Servidor de Base de Datos de Producción 3
3
Servidor Controlador de Dominio
Principal

9.4.3 Identificación de Riesgos:

Se realiza la identificación de riesgos asociados a los activos de información

con criticidad ALTA. Para lo cual se debe realizar las siguientes actividades:
- Agrupar los activos de acuerdo a su alcance o ubicación. Por ejemplo el

VITALIS Créditos y VITALIS Judiciales pueden agruparse en un grupo
denominado “Aplicativo VITALIS”.

Restringida: Está prohibida la reproducción total o parcial del contenido de este documento sin permiso de la

CAJA HUANCAYO.

VERSIÓN 05 Página 8 de 11 Aprobado por Acuerdo de Comité de Gerencia N° 0193-2016
Vigente desde el 21 de marzo del 2016

MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

- Identificar las amenazas que podrían ocasionar un evento de riesgo
relacionado con el activo de información.

- Identificar las vulnerabilidades asociadas al activo de información.
- Identificar el evento de riesgo y la categoría de su causa en función a lo que

establece el Manual de Gestión del Riesgo Operacional.

Cuadro N° 3: Identificación de Riesgos

Activo / Categoría de causa de
Grupo de
Amenazas Vulnerabili- Evento de evento de riesgo
Activo dades
Error de Riesgo Perso Proc. Even.
Aplicativo Programación Inadecuada nal Inter. T.I. Exter.
VITALIS capacitación
del Analista Pérdida de
Programador
integridad de la

información y/o X X

disponibilidad

de la aplicación

9.4.4 Evaluación de Riesgos:
a. Se define la probabilidad de ocurrencia de una amenaza y su impacto en
función a las vulnerabilidades.

Cuadro N° 4: Evaluación de Riesgos

Activo / Grupo Amenaza Vulnerabilidades Evento de Probabilidad Impacto Nivel de
de Activo Riesgo 3 3 riesgo
3 4 ALTO
Aplicativo Error de Inadecuada Pérdida de
VITALIS Programación capacitación del integridad de la ALTO
información y/o
Analista disponibilidad de
Programador
la aplicación
Servidor Avería del Avería del
servidor (fallo servidor (Fallo de Falta de
actualización de
sistema Sistema
operativo Operativo) parches de
seguridad

El nivel de riesgo se define en función de la probabilidad e impacto, de acuerdo
a lo establecido en el numeral 6.4 Evaluación de Riegos del Manual de Gestión
de Riesgo Operacional.

9.4.4.1 Evaluación de riesgos con controles
Se identifican los controles que están implementados y se evalúa el
impacto en la mitigación de vulnerabilidades y se compara con la
evaluación anterior tomando en cuenta lo establecido en el Manual de
Gestión de Riesgo Operacional.

FASE II: IMPLEMENTAR Y OPERAR EL SGSI

9.4.5 Tratamiento de Riesgos:
Se identifica y evalúa las distintas opciones para tratar los riesgos, y a partir de
ello preparar e implementar planes de tratamiento.
En esta etapa se seleccionan Objetivos de control y los Controles a
implementar que cumplan con los requerimientos identificados en el proceso
de evaluación del riesgo, estos controles pueden provenir de los estándares
Anexo A del ISO 27001, COBIT y otros creados por la Institución.

Cuadro N° 5: Tratamiento de Riesgos

Amenaza Evento de Riesgo Estrategia Actividades a Realizar Tipo de Responsable de Fecha
Control Implementación

Pérdida de Establecer programas

Aplicativo integridad de la de capacitación para los Departamento
VITALIS información y/o de T.I.
disponibilidad de la Reducir responsables de Preventivo 15/05/2012
Dpto. de GTH
programación de los

aplicación aplicativos

Restringida: Está prohibida la reproducción total o parcial del contenido de este documento sin permiso de la

CAJA HUANCAYO.

VERSIÓN 05 Página 9 de 11 Aprobado por Acuerdo de Comité de Gerencia N° 0193-2016
Vigente desde el 21 de marzo del 2016

MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

La selección de controles se documenta en un enunciado de aplicabilidad
que incluye:
 Los objetivos de control y controles seleccionados y los motivos para su

elección.
 Los objetivos de control y controles que actualmente ya están implantados.

Cuadro N° 6: Enunciado de Aplicabilidad

Activo de Evento de Riesgo Objetivo de Control /Control Justificación
Información
Pérdida de integridad de A.10.1 Procedimiento y responsables de la Detección de
Aplicativo la información y/o operación vulnerabilidades
VITALIS disponibilidad de la A.12.6 Vulnerabilidades Técnicas internas y
aplicación A.10.3 Planificación y Aceptación del Sistema externas.
A.11.6 Control de acceso a las aplicaciones

9.4.6 Definición de Indicadores
Los controles identificados e implementados deben tener indicadores por cada
control o grupo de controles similares para medir la eficacia de los mismos.

Cuadro N° 7: Indicadores

Evento de Riesgo Control Tipo de Descripción Forma de
Control indicador Cálculo

Pérdida de integridad de Establecer programas de Preventivo Numero de Suma de
capacitaciones los Capacitaciones
la información y/o capacitación sobre las realizadas a
en el año
disponibilidad de la consecuencias del software colaboradores del
área de desarrollo
aplicación malicioso

9.4.7 Mantenimiento de Registros
Los controles implementados deben mantener los registros necesarios para
monitorear el cumplimiento del mismo.

Control Tipo de Control Frecuencia Entregable
Preventivo Semestral
Establecer programas de Resultado de
capacitación sobre las evaluaciones
consecuencias del software
malicioso.

Asimismo se debe mantener el registro de incidentes de seguridad de la
información, los cuales deben ser reportados por todos los colaboradores de
La Caja.

9.4.8 Capacitación y Concientización
Los programas de formación y concienciación en relación a la seguridad de la
información permiten:
 Contribuir a desarrollar una cultura de seguridad de la información en los
colaboradores animando a los usuarios a actuar de forma responsable y a
operar con más seguridad.
 Identificar el nivel de conocimiento y manejo de conceptos de seguridad de
la información dentro de La Caja.
Estos programas están dirigidos por el Departamento de Seguridad Integral y
el Departamento de Tecnología de la Información.
Los programas de capacitación se incluyen en el Plan anual de Capacitaciones
del Departamento de Gestión del Talento Humano.

FASE III: MONITOREAR EL SGSI DE LA CAJA

Restringida: Está prohibida la reproducción total o parcial del contenido de este documento sin permiso de la

CAJA HUANCAYO.

VERSIÓN 05 Página 10 de 11 Aprobado por Acuerdo de Comité de Gerencia N° 0193-2016
Vigente desde el 21 de marzo del 2016

MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Se planifica y se lleva a cabo actividades que permitan evaluar la efectividad y eficiencia del
SGSI y en particular de los controles implementados en referencia a los objetivos de control
planteados en las fases anteriores.
Estos chequeos y revisiones se realizarán en periodos semestrales y cuando se realicen
modificaciones importantes a los procesos, cambios importantes en el ambiente informático
u operativo.
Las actividades a realizar son:
 Medición de la efectividad de los controles para verificar que se cumple con los requisitos

de seguridad.
 Revisión en intervalos planificados de las evaluaciones de riesgo de acuerdo al nivel de

riesgo priorizando los calificados como altos.
 Revisión de la efectividad del SGSI, atendiendo al cumplimiento de la política y objetivos

del SGSI, recomendaciones de auditorías internas, sugerencias y observaciones de las
partes implicadas.
 La unidad de Auditoría Interna de la CAJA realiza una revisión periódica del SGSI.
 Registro de todas las acciones y eventos que pueden tener impacto sobre el desempeño
del SGSI.

FASE IV: MANTENER Y MEJORAR EL SGSI DE LA CAJA

En función de toda la información recabada en la etapa de monitoreo, se adoptarán las
decisiones necesarias para corregir los aspectos y controles que no estén logrando la
efectividad esperada y replantearse el acierto o no de los controles planteados así como la
vigencia de los objetivos de control.

Las actividades a realizar son:
 Implantación de mejoras, poner en marcha todas las mejoras que se hayan propuesto

en la fase anterior.
 Acciones correctivas, para solucionar las deficiencias de control detectadas.
 Acciones preventivas, para prevenir potenciales amenazas y /o vulnerabilidades.
 Informar de las acciones y mejoras a todos los interesados y con el nivel adecuado de

detalle.

Restringida: Está prohibida la reproducción total o parcial del contenido de este documento sin permiso de la

CAJA HUANCAYO.

VERSIÓN 05 Página 11 de 11 Aprobado por Acuerdo de Comité de Gerencia N° 0193-2016
Vigente desde el 21 de marzo del 2016


Click to View FlipBook Version