dcp-mn-002 manual del sistema de gestion de si.pdf

8/16/2019 DCP-MN-002 MANUAL DEL SISTEMA DE GESTION DE SI.pdf

1/19

© COPYRIGHT DINERS CLUB PERU – TODOS LOS DERECHOS RESERVADOS

Ninguna parte de esta publicación puede ser reproducida, ni almacenada en un s istema o transmitida de ninguna forma o bajo ningún mecanismo sin

aprobación escrita de DINERS CLUB PERU

MANUALSISTEMA DE GESTION DE SEGURIDAD DE LAINFORMACION

DINERS CLUB PERÚ

Rol de las Áreas Áreas Revisor Aprobador

Dueño de proceso RIESGOS Leonel HenriquezGerente de Riesgos Leonel HenriquezGerente de Riesgos

ELABORADO POR:

Jhon Alvarado GodoyOFICIAL DE SEGURIDAD DE LAINFORMACION

REVISADO Y PUBLICADO POR:

Ángela Lora OFICINA DE GESTIÓN DE PROYECTOS – PMO


2/19

DCP-MN-002 DINERS CLUB PERU VIGENCIA: 22/10/2014

ASUNTO : SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

VERSIÓN 01 PAG. 2 de 19 La versión vigente de este documento es la que se encuentra en Infodiners.

Cualquier copia impresa se considera copia NO CONTROLADA y se debe verificar su vigencia

INDICE1. OBJETIVOS……………………………………………………………………………………… 3 2. ALCANCE………………………………………………………………………………………... 3 3. BASE LEGAL……………………………………………………………………………………. 4 4. GENERALIDADES……………………………………………………………………………… 4 5. POLITICAS………………………………………………………………………………………18 6. ANEXOS Y REGISTROS………………………………………………………………………19 7. BITACORA DE CAMBIOS……………………………………………………………………..19


3/19





1. OBJETIVO

La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) es unadecisión estratégica para Diners Club Perú, está influenciada por los objetivos estratégicos,

los requerimientos de seguridad internos y externos, los procesos, el tamaño y complejidadde nuestra institución.

Los objetivos principales del SGSI son los siguientes:

a. Garantizar la confidencialidad, integridad y disponibilidad de la información generada porDiners Club Perú.

b. Lograr la confiabilidad en la información generada por Diners Club Perú, comprendiendoreportes e informes tanto internos como externos; entre ellos los usados por la Dirección yla Gerencia, aquellos enviados a terceros, información entregada a los reguladores, así

como accionistas y otros grupos de interés.

c. Utilizar y disponer en todo momento de una adecuada segregación de funciones para elacceso a cualquier dato o información de la empresa.

d. Proteger en todo momento y circunstancia los datos e información contra los riesgos dedestrucción, pérdida, divulgación, malversación, no disponibilidad y repudio, conforme conlas políticas, normas y procedimientos emanadas por la Dirección, las leyes vigentes yreglamentaciones emitidas por los organismos reguladores.

e. Implementar políticas y procedimientos basados en las evaluaciones de riesgos para

proteger los activos de información.

f. Desarrollar planes y tomar acciones para brindar seguridad de información apropiada paralas redes, equipos, sistemas e información.

g. Prevenir riesgos y gestionar incidentes de seguridad de información.

h. Fomentar la cultura de seguridad de información en Diners Club Perú, a través deprogramas de concientización, capacitación y formación sobre la seguridad de lainformación.

2. ALCANCE

El SGSI abarca toda la información utilizada por Diners Club Perú para el desarrollo de susactividades y es aplicable a los procesos principales de la institución incluyendo lasdependencias de los mismos con las otras empresas del Grupo, proveedores y entidadesexternas. La implementación del SGSI se extenderá en concordancia con las necesidades dela organización.


4/19





3. BASE LEGAL

Circular SBS G-140-2009 SBS- Gestión de la Seguridad de la Información Norma Internacional ISO 27001:2005

Normas Internas RelacionadasDCP-MN-003 Manual de Gestión de Riesgos de Seguridad de la InformaciónDCP-MN-004 Manual de Políticas del Sistema de Gestión de Seguridad de la Información

Normas Internas AnuladasDCP-GG-M-002 Sistema de Gestión de Seguridad de la Información

4. GENERALIDADES

El Oficial de Seguridad de la Información debe mantener actualizado el presente, para ellocontará con el apoyo del área de Gestión de Procesos gestionando las aprobacionesreglamentadas así como la difusión del mismo.

4.1. GLOSARIO DE TERMINOS

4.1.1. Activo: Cualquier cosa que tenga valor para la organización.

4.1.2. Amenaza: Cualquier acción o evento que puede ocasionar consecuenciasadversas.

4.1.3. Confidencialidad: La información debe ser accesible sólo a aquellos que seencuentren debidamente autorizados.

4.1.4. Disponibilidad: La información debe ser disponible en forma organizada para losusuarios autorizados cuando sea requerida.

4.1.5. Evento: Un suceso o serie de sucesos que pueden ser internos o externos a laempresa, originados por la misma causa, que ocurren durante el mismo periodode tiempo.

4.1.6. Evento de seguridad de información: Una ocurrencia identificada del estado de

un sistema, servicio o red indicando una posible violación de la política deseguridad de la información o falla en las salvaguardas, o una situaciónpreviamente desconocida que puede ser relevante para la seguridad.

4.1.7. Factor de autenticación: Información utilizada para verificar la identidad de unapersona. Pueden clasificarse de la siguiente manera: Algo que el usuario conoce (por ejemplo: una clave de identificación). Algo que el usuario posee (por ejemplo: una tarjeta). Algo que el usuario es (por ejemplo: características biométricas).

4.1.8. Grupo de interés: Personas u organizaciones que se ven impactadas por las

operaciones de una empresa. Ejemplos: clientes, socios del negocio, empleados,proveedores, accionistas, entidades gubernamentales, entre otros.


5/19





4.1.9. Incidente de seguridad de información: Evento asociado a una posible falla enla política de seguridad, una falla en los controles, o una situación previamentedesconocida relevante para la seguridad, que tiene una probabilidad significativa

de comprometer las operaciones del negocio y amenazan la seguridad de lainformación.

4.1.10. Indicadores Claves de Control (Key Control Indicators - KCI´s): Son aquellosdatos relacionados a las medidas adoptadas para el control de los riesgos y cuyoseguimiento permite anticipar debilidades en las medidas de control de riesgosadoptadas.

4.1.11. Indicadores Claves de Rendimiento (Key Performance Indicators- KPI´s): Son aquellos datos relacionados a la gestión y administración del Sistema deGestión de Seguridad de la Información, cuyo seguimiento permite identificar

oportunidades de mejoras o debilidades en el modelo del SGSI.

4.1.12. Indicadores Claves de Riesgo (Key Risk Indicators - KRI´s): Son aquellosdatos relacionados a los riesgos de seguridad de información identificados ycuyo seguimiento permite anticipar debilidades en los activos críticos de losprocesos.

4.1.13. Indicadores Claves de Seguridad de Información : Son los KCI’s, KPI’s y losKRI’s asociados a la seguridad de información.

4.1.14. Información: Cualquier forma de registro electrónico, óptico, magnético o en

otros medios similares, susceptible de ser procesada, distribuida y almacenada.

4.1.15. Integridad: La información debe ser completa, exacta y válida.

4.1.16. Salvaguarda: Las políticas, los procedimientos, las prácticas y las estructurasorganizativas concebidas para mantener los riesgos de seguridad de lainformación por debajo del nivel de riesgo asumido. Contramedida.

4.1.17. Seguridad de información: Característica de la información que se logramediante la adecuada combinación de políticas, estructura organizacional yherramientas informáticas especializadas, a efectos que dicha informacióncumpla los criterios de confidencialidad, integridad y disponibilidad.

4.1.18. Sistema de gestión de seguridad de la información - SGSI: Parte del SistemaGerencial General, basado en un enfoque de riesgo comercial; para establecer,implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de lainformación. El sistema gerencial incluye la estructura organizacional, políticas,actividades de planeación, responsabilidades, prácticas, procedimientos,procesos y recursos.

4.1.19. Subcontratación: Modalidad de gestión mediante la cual una empresa contrataa un tercero para que éste desarrolle un proceso que podría ser realizado por laempresa contratante.


6/19





4.1.20. Subcontratación significativa: Aquella subcontratación que, en caso de falla osuspensión del servicio, puede poner en riesgo importante a la empresa, alafectar sus ingresos, solvencia, o continuidad operativa.

4.1.21. Vulnerabilidad: Deficiencias que pueden ser explotadas por amenazas.

4.2. ROLES Y RESPONSABILIDADES

La gestión de seguridad de la información en Diners Club Perú requiere de laparticipación de los diferentes niveles de la organización, cada una conresponsabilidades bien definidas y actividades previamente establecidas.

A continuación se enuncian las principales funciones y responsabilidades de los entesparticipantes en el desarrollo de la gestión de seguridad de la información en Diners Club

Perú:

4.2.1. Del Directorio

Brindar su apoyo y compromiso con el Sistema de Gestión de Seguridad deInformación de Diners Club Perú.

4.2.2. De la Gerencia General

Apoyar activamente en el cumplimiento y mejora continua del Sistema deGestión de Seguridad de la Información de Diners Club Perú.

Asegurar que exista un marco de trabajo adecuado para identificar, medir,monitorear y reportar los riesgos de seguridad de la información en Diners ClubPerú.

Establecer un sistema adecuado de delegación y segregación de funciones enla Gestión de los Activos de Información de Diners Club Perú.

Propone al Directorio la aprobación del presupuesto general de Diners ClubPerú, el mismo que incluye el presupuesto para la gestión de la seguridad de lainformación.

4.2.3. De la Gerencia de Riesgos

La Gerencia de Riesgos es responsable de la dirección de la Gestión de la

Seguridad de la Información en Diners Club Perú, así como de revisar ypresentar ante el Comité de Riesgos los resultados de la gestión de seguridadde la información.

4.2.4. Del Comité de Riesgos

El Comité de Riesgos tendrá las siguientes responsabilidades: Revisar las Políticas de Seguridad de la Información verificando su efectividad

y correcta implementación. Revisar y proponer mejoras al Manual de Gestión de Seguridad de la

Información.

Revisar y proponer mejoras a la metodología de la Gestión de Riesgos deSeguridad de Información.


7/19





Revisar y proponer mejoras a los riesgos asociados a los activos deinformación dentro del alcance del SGSI.

Establecer los criterios para aceptar los riesgos e identificar niveles de riesgoaceptables.

Definir el plan de acción y monitoreo a fin de evitar, mitigar, trasladar o aceptarlos riesgos asociados a la seguridad de información.

Coordinar con el Oficial de Seguridad de la Información las iniciativas einquietudes de las diversas áreas de Diners Club Perú en materia de seguridadde la información.

Monitorear el cumplimiento de la mejora continua del Sistema de Gestión deSeguridad de la Información.

Revisar la gestión de seguridad de la información.

4.2.5. Del Oficial de Seguridad de la Información

El Oficial de Seguridad de Información tendrá las siguientes responsabilidades: Coordinar y proponer al Comité de Riesgos la revisión y actualización del

Sistema de Gestión de Seguridad de la Información. Liderar los grupos de respuesta ante la ocurrencia de incidentes seguridad de

la información. Estructurar y mantener el Sistema de Gestión de la Seguridad de la

Información de Diners Club Perú, para lo cual deberá apoyarse en la oficina deRiesgos.

Gestionar las actividades que definen las funciones de seguridad de lainformación, en concordancia con lo establecido en las DCP-MN-004 Manualde Políticas del Sistema de Gestión de Seguridad de la Información de Diners

Club Perú. Liderar el desarrollo y mantenimiento de políticas, estándares y procedimientospara promover la seguridad de la información y participar en las actividadesque permitan la continuidad del negocio.

Liderar la realización de actividades orientadas al análisis de riesgostecnológicos periódicos sobre los activos de información, a fin de mantener unconocimiento actualizado de las amenazas y vulnerabilidades sobre estos.

Realizar el monitoreo del cumplimiento de las políticas, estándares yprocedimientos del Sistema de Gestión de Seguridad de la Información.

Coordinar con RRHH y conducir el programa de concientización en temas deseguridad de la información dirigido a todos los colaboradores de Diners ClubPerú.

Asesorar a las distintas gerencias y colaboradores en temas relacionados aseguridad de la información.

Proponer responsabilidades al interior de Diners Club Perú en cuanto aSeguridad de la Información.

Proponer en conjunto con las áreas, estrategias de mitigación de los riesgos deseguridad de la información.

Investigar y reportar incidentes o incumplimientos al Comité de Riesgosrelacionados a seguridad de la información.

4.2.6. De la Gerencia de Tecnología y Operaciones

El área de Tecnología tendrá las siguientes responsabilidades:


8/19





Gestionar la seguridad de la infraestructura de cómputo y los procedimientosde desarrollo y cambios a los programas.

Aplicar los accesos autorizados por el Oficial de Seguridad de Información entodos los sistemas de Diners Club Perú.

Coordinar con el Oficial de Seguridad de Información la definición deestándares y tecnologías más adecuadas para implantar los controles deseguridad.

Informar al Oficial de Seguridad de Información sobre amenazas y/ovulnerabilidades a los que están expuestos los activos de información quegestionan.

Informar al Oficial de Seguridad de Información los incidentes de seguridad deinformación.

Convocar al Oficial de Seguridad de Información en los procesos deadquisición, desarrollo y mantenimiento de sistemas informáticos, asimismoinformar sobre la contratación de servicios de Tecnologías de Información y los

acuerdos de niveles de servicios. Convocar al Oficial de Seguridad de Información en los proyectos de

Tecnologías de Información, para que identifique y evalúe los riesgosasociados.

Proporcionar al Oficial de Seguridad de información los reportes de auditoría delos sistemas que sean solicitados por este.

Definir los requerimientos de seguridad de la información en conjunto con elOficial de Seguridad de la Información, tan pronto como se inicie la adquisición,desarrollo y modificación de aplicativos. Estos requerimientos deben serdocumentados, implementados por el equipo del proyecto, entregados comoparte de los requerimientos a ser probados en la etapa previa al pase a

Producción. Asegurar que los proyectos se realicen usando métodos, técnicas yprocedimientos para mantener la seguridad de la información de los mismos,garantizando de ese modo la confidencialidad, integridad y disponibilidad de lossistemas de información. Esto incluye la ejecución de proyectos relacionadoscon la mejora de la seguridad de la información.

Realizar los procesos de copias de respaldo de la información, así como lacreación de procesos de recuperación.

Asegurar un adecuado mantenimiento de los equipos de procesamiento,almacenamiento y transmisión de información, así como la conservación de losdispositivos magnéticos y ópticos utilizados para las copias de respaldo.

Asegurar que las actividades bajo su Gestión, que requieran contratos conterceros cuenten con cláusulas que aseguren el cumplimiento de lanormatividad para la gestión de riesgos de tecnología de información.

Emitir opinión respecto a los temas referidos a tecnologías de información,dentro de los procesos de selección de proveedores administrados por lasotras áreas de Diners Club Perú.

4.2.7. De la Gerencia Financiero Administrativa

La Sub Gerencia de Recursos Humanos tendrá las siguientes responsabilidades: Verificar referencias anteriores de los candidatos para el empleo, en

concordancia con las leyes y regulaciones.


9/19





Entregar las Políticas de Seguridad de la información al nuevo empleado yhacerles firmar un cargo de entrega y compromiso de tal forma de asegurarque los empleados acepten los términos y condiciones referentes a laSeguridad de la Información.

Incluir dentro de la inducción a todos los niveles de Diners Club Perú charlassobre la importancia de la información manejada en sus puestos de trabajo.

Hacer firmar el Acuerdo de Confidencialidad de la Información (Incluido en elcontrato de trabajo vigente) a los nuevos empleados.

Participar en cualquier acción que implique las acciones de un empleado por elsupuesto abuso de los recursos informáticos por su parte.

Aplicar las medidas disciplinarias por los riesgos asociados al incumplimientode las Políticas de Seguridad de la información de acuerdo al grado deresponsabilidad.

En coordinación con el Oficial de Seguridad de Información, brindar a loscolaboradores de Diners Club Perú capacitación y educación en Seguridad de

la Información. Apoyar a las áreas respectivas en el proceso de devolución de activos de

información que le fueron asignados al colaborador. Informar al Oficial de Seguridad de Información el ingreso de los nuevos

colaboradores, además, de los ceses de los colaboradores para su respectivadeshabilitación en los sistemas de acuerdo a los procedimientos vigentes.

Sobre el Servicio de Seguridad Física, el Área de Administración tendrá lassiguientes responsabilidades: Compartir información relativa a incidencias y otras situaciones de potencial

riesgo de seguridad de la información.

Investigar los incidentes o sucesos relacionados a la seguridad de Diners ClubPerú. Monitorear todas las instalaciones de Diners Club Perú y realizar acciones

correctivas con el fin de brindar a los clientes, colaboradores, proveedores deservicios y/ó terceros un lugar seguro para realizar sus operaciones/trabajo.

Impedir accesos no autorizados, daños e interferencia a las sedes einformación de Diners Club Perú.

De manera conjunta con el área de Tecnología de Información brindar laprotección física adecuada al Centro de Cómputo contra accesos noautorizados, daños e intrusiones.

Definir los puntos de carga y descarga así como otros puntos en los que elpersonal no autorizado pueda acceder a las oficinas administrativas oagencias, estos puntos deben estar alejados de los sistemas de tratamiento dela información.

Controlar la entrada y salida de equipos de procesamiento informático de lasoficinas de Diners Club Perú y verificar las autorizaciones respectivas.

4.2.8. Del Área Legal

El Área Legal tendrá las siguientes responsabilidades: Informar al Oficial de Seguridad de la Información las nuevas leyes o

modificaciones en los temas de protección de datos personales, firmasdigitales, delitos contra el mal uso de la información, delitos informáticos y toda

aquella regulación a la que esté afecto Diners Club Perú.


10/19





Incorporar en los contratos de servicios tercerizados cláusulas que obliguen alproveedor a que sus servicios no afecten la confidencialidad, integridad ydisponibilidad de la información de Diners Club Perú, y en los servicios yacontratados adendas que hagan referencia a las obligaciones ya mencionadas,

los cuales deberán ser enviados a los responsables de la contratación. En caso de incumplimiento del deber de confidencialidad de la información,

iniciar las acciones correspondientes, de acuerdo con su gravedad, sin perjuiciode la responsabilidad civil y/o penal que ello ocasione

4.2.9. De las Gerencias

Las Gerencias de Diners Club Perú no mencionadas de manera explícita en elpresente manual así como las mencionadas tendrán las siguientesresponsabilidades:

Participar activamente en la aplicación de la metodología de Gestión deRiesgos de Seguridad de Información en sus respectivas áreas verificando queel personal de su cargo haya recibido capacitaciones sobre este tema.

Promover dentro de sus áreas, el reporte al Oficial de Seguridad de laInformación de los riesgos ó incidentes de seguridad de información que sepresenten.

Canalizar al Oficial de Seguridad de Información, cualquier consulta ó asesoríaconducente a mejorar la Gestión de Seguridad de Información.

Asegurarse que los colaboradores a la terminación del empleo devuelvan losactivos de información que le fueron asignados.

4.2.10. Del Área de Auditoría Interna

Adicionalmente a las funciones que les corresponden como Colaboradores,tienen las siguientes responsabilidades:

Compartir información acerca de la identificación de vulnerabilidades yamenazas relativas a la seguridad de la información.

Compartir información relativa a incidencias y otras situaciones de potencialriesgo de seguridad de la información.

4.2.11. Propietarios de Información (Sub Gerencias y Jefes de Área)

Adicionalmente a las funciones que les corresponden como colaboradores, tienenlas siguientes responsabilidades: Apoyar al Oficial de Seguridad de la Información en la difusión de las políticas y

estándares de seguridad de la información de Diners Club Perú a loscolaboradores bajo su cargo, para asegurarse que las conozcan y comprendanque el incumplimiento de las mismas podrían resultar en una accióndisciplinaria.

Ser responsables de la información que se genera y se utiliza en lasactividades de su área de negocio.

Identificar los riesgos asociados a la seguridad de la información inherente a sugestión, según los lineamientos y políticas de Seguridad de la Información, asícomo solicitar el apoyo de las áreas pertinentes para evaluar dichos riesgos y

establecer medidas de mitigación.


11/19





Apoyar y facilitar las revisiones periódicas para la verificación del cumplimientode las políticas, procedimientos y estándares de seguridad de la información.

Determinar los criterios y niveles de acceso a la información de la cual sonresponsables y notificar el cambio de función/ubicación de cualquier

colaborador sea por reasignación o retiro, con la finalidad de modificar ocancelar sus accesos.

Revisar periódicamente los niveles de acceso a los sistemas a su cargo. Velar por el secreto bancario y el manejo confidencial de la información en su

área. Incluir los requerimientos de seguridad de la información y la toma de

conciencia sobre seguridad en las comunicaciones a los colaboradores y en lacapacitación sobre nuevas aplicaciones.

Ejecutar las acciones disciplinarias en coordinación con el Oficial de Seguridadde la Información, el área de Recursos Humanos y el área Legal, en cualquiercaso de incumplimiento de las Políticas de Seguridad de la Información de

Diners Club Perú. Identificar la información restringida o confidencial de los recursos bajo su

responsabilidad en coordinación con el Oficial de Seguridad de la Información. Comunicar los requerimientos de seguridad de la información al Oficial de

Seguridad de la Información, para que sean tomados en cuenta en laadquisición, desarrollo y modificación de aplicativos.

4.2.12. Colaboradores de Diners Club Perú

Identificar y reportar incidentes de seguridad de la información. Reportar vulnerabilidades o debilidades en los sistemas o aplicaciones que

maneja Diners Club Perú, y vulnerabilidades que puedan ser explotadasafectando los activos de información de Diners Club Perú. Conocer, comprender y cumplir las políticas, procedimientos y estándares de

seguridad de la información de Diners Club Perú. Identificar y evaluar los riesgos inherentes a sus funciones de negocio

individuales y a los procesos bajo su control en forma adecuada y oportuna. Asegurar que las medidas de mitigación implantadas en su área de negocio o

soporte, funcionen en forma adecuada. Notificar incidentes y riesgos de seguridad de la información al jefe del área

responsable y/o al Oficial de Seguridad de la Información. Utilizar la información, sistemas y todos los recursos de Diners Club Perú

únicamente para los propósitos autorizados e inherentes a la función asignada. Mantener la confidencialidad de su identificación y password de seguridad. No

compartir identificaciones de seguridad con ninguna otra persona,adicionalmente no se debe guardar, escribir en su computador personal o enningún otro medio físico susceptible de ser leído por otra persona.

Mantener la confidencialidad e integridad de la información (escrita, digital y/óverbal) que circula al interior de Diners Club Perú.

Almacenar su información restringida o confidencial en los servidores dearchivos centralizados y no en otros medios de almacenamiento que pudieranser accedidos por terceras personas.

Reportar incumplimientos de seguridad de la información.


12/19





4.2.13. Proveedores de Servicios y Terceros en General.

Diners Club Perú someterá a los proveedores de servicios y terceros en general,por lo menos a las mismas políticas y procedimientos que norman a los

Colaboradores. Los proveedores de servicios y terceros en general sólo tendrán acceso a la

información que requieren para cumplir con los servicios establecidos en elcontrato, y deberán formalizar por escrito que garantizarán la confidencialidadde la información a la que tengan acceso.

Los proveedores de servicios y terceros deben cumplir las cláusulas incluidasdentro de los contratos, que están referidas a salvaguardar la confidencialidad,integridad y disponibilidad de la información de Diners Club Perú.

Los proveedores de servicios y terceros en general deberán brindar todas lasfacilidades necesarias para que Diners Club Perú revise el cumplimiento de lascondiciones incluidas en la propuesta técnica y/o contratos de los servicios

brindados; así como también aspectos de seguridad de la información de losservicios.


13/19





4.3. DISPOSICIONES GENERALES

4.3.1. PROPÓSITO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN(SGSI)

El SGSI está diseñado para asegurar la selección adecuada de controles deseguridad que protejan los activos de información de Diners Club Perú y denconfianza a los grupos de interés.

4.3.2. FASES DEL SGSI

P (Plan): A través del cual se establece el SGSID (Do): A través del cual se implementa y opera el SGSI C (Check): A través del cual se monitorea y revisa el SGSI A (Act): A través del cual se mantiene y mejora el SGSI

En la primera fase “Establecimiento del SGSI”, se dan las pautas para determinar el alcance delmodelo del SGSI, identificar los activos de información y tasarlos, luego hacer el análisis y laevaluación del riesgo y determinar que activos de información están sujetos a riesgo. Seguidamente,

en esta fase se deben determinar las opciones para el tratamiento del riesgo.

En la segunda fase “Implementación del SGSI”, se debe elaborar el plan de tratamiento del riesgo,detallando las acciones que deben emprenderse para implantar las opciones de tratamiento delriesgo escogidas.

En la tercera fase “Monitoreo y Revisión”, se deben establecer procedimientos y rutinasestablecidos para, con ayuda de métrica, revisar el desempeño del SGSI.

En la cuarta fase “Mejora continua”, se toman las acciones pertinentes para reaccionar a incidentesy tomar también las acciones preventivas de lugar. La idea consiste en llevar al SGSI a la excelenciaen el tiempo.


14/19





El SGSI está diseñado bajo una óptica de enfoque a procesos. En el Gráfico 2 se ilustran loscomponentes del SGSI bajo la perspectiva de procesos.

El SGSI opera con base en insumos provenientes de stakeholders, clientes, proveedores, usuarios,accionistas, socios y otras partes interesadas. Estos insumos a través de las operaciones internas delSGSI, proporcionan resultados concretos del desempeño del SGSI.

Es necesario que el mecanismo de retroalimentación para controlar el desempeño del SGSI seestablezca y se diseñe métrica para, por medio de indicadores, poder medir su desempeño.

El enfoque a procesos del SGSI también contempla recursos que deben ser provistos para que lasoperaciones internas funcionen adecuadamente.

El SGSI, en su óptica de procesos, permite que Diners Club Perú influencie el desempeño del modeloa través de consideraciones estratégicas, tales como objetivos y políticas particulares de lainstitución.

4.3.3. ESTRUCTURA PARA LA ADMINISTRACION DEL SGSI

El Directorio y la Alta Gerencia, incluyendo el Comité de Riesgos, son las máximasinstancias de decisión y responsabilidad en la gestión de la seguridad de lainformación, estableciendo y asegurando el apropiado ambiente interno yordenamiento para la gestión.

El área de Riesgos a través del Oficial de Seguridad de la Información proporcionala metodología para la gestión de la seguridad de la información y en coordinacióncon las áreas relacionadas promueve la implementación de controles de seguridadde la información, asegurándose el cumplimiento de la DCP-MN-004 Manual dePolíticas del Sistema de Gestión de Seguridad de la Información definido porDiners Club Perú.

Gráfico 2: Enfoque a procesos del ISO 27001:2005

OPERACIONESINTERNAS

Insumos

Recursos

Consideracionesestratégicas Retroalimentación

ResultadosMedida


15/19





4.3.4. ESTRUCTURA DE RESPONSABILIDAD DEL SGSI

En el punto 4.2 se indica los roles y responsabilidades de los principales actoresinvolucrados en el Sistema de Gestión de Seguridad de la Información.

4.3.5. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SEGURIDAD DEINFORMACIÓN

La metodología está basada en el enfoque de la cláusula 4.2.1 (c) de la ISO27001:2005 y se detalla en el documento DCP-MN-003 Manual de Gestión de

Riesgos de Seguridad de la Información.

En dicho documento se establece principalmente el procedimiento de análisis yevaluación de riesgos, la política de aceptación de los riesgos y el plan detratamiento (respuesta) al riesgo.En base a la metodología aplicada se debe obtener el Informe de Análisis deRiesgos en el que se reflejan los resultados de las etapas de análisis y evaluaciónde los riesgos de los activos de información de Diners Club Perú, así comotambién los controles que se aplicarán a cada uno de ellos.

4.3.6. SELECCIÓN DE CONTROLES DE SEGURIDAD DE LA INFORMACIÓN

Sobre la base del resultado de la evaluación de riesgos, requerimientos deseguridad de la información, contexto y normativa de seguridad de la informaciónestablecida, se seleccionan e implementan los controles de la seguridad de lainformación de acuerdo a los controles de la Circular G140-SBS y la NormaInternacional ISO 27001:2005.

4.3.7. DECLARACIÓN DE APLICABILIDAD (SoA)

La Declaración de Aplicabilidad es el documento que debe contener los objetivosde control y los controles contemplados por el Sistema de Gestión de Seguridadde la Información, basado en los resultados de los procesos de evaluación y


16/19





tratamiento de riesgos, justificando sus inclusiones y sus exclusiones; eldocumento se denomina REG-DCP-032-01 Declaración de Aplicabilidad.

4.3.8. CONTROL DE LA DOCUMENTACIÓN

Para los documentos que se generen para el Sistema de Gestión de Seguridad dela Información de Diners Club Perú se debe establecer, documentar, implantar ymantener un procedimiento que defina las acciones de gestión necesarias para: Aprobar documentos antes de su implementación. Revisar y mantener actualizados los documentos. Garantizar que los cambios y el estado actual de revisión de los documentos

sean informados. Garantizar que los documentos sean fácilmente identificables. Garantizar que los documentos permanecen disponibles, que sean

almacenados, distribuidos y finalmente destruidos acorde con los

procedimientos aplicables según su clasificación. Evitar la utilización indebida de documentos.

4.3.9. CONCIENTIZACIÓN Y ENTRENAMIENTO AL COLABORADOR

Uno de los elementos básicos para el éxito de un Sistema de Gestión deSeguridad de la Información es el recurso humano, por tal motivo se debecapacitar y concientizar a todo colaborador de Diners Club Perú que tenga accesoa los sistemas o información de Diners Club Perú.

Todas las charlas de concientización, talleres o entrenamiento deben ser

registrados por el Oficial de Seguridad de la Información. En las charlas, según seconsidere necesario, se deben tomar evaluaciones para constatar que han sidoefectivas.

4.3.10. MONITOREO DEL SGSI

El monitoreo se basa en la realización de revisiones periódicas de indicadoresclaves, permitiendo anticipar debilidades en diferentes ámbitos de la Gestión delSistema de Seguridad de Información. Los indicadores se clasifican en:

4.3.10.1. Indicadores Claves de Gestión (KPI’s):

Son aquellos datos relacionados a la gestión y administración delSistema de Gestión de Seguridad de la Información, cuyo seguimientopermite identificar oportunidades de mejoras o debilidades en el modelodel SGSI.

4.3.10.2. Indicadores Claves de Riesgo (KRI’s).

Son aquellos datos relacionados a los riesgos de seguridad deinformación identificados y cuyo seguimiento permite anticipardebilidades en los activos críticos de los procesos. (Ejemplo.: Niveles devulnerabilidad, Accesos no autorizados, Incidentes de seguridad de

información, etc.).


17/19





4.3.10.3. Indicadores Claves de Control (KCI’s).

Son aquellos datos relacionados a los controles adoptados para el

tratamiento de los riesgos y cuyo seguimiento permite anticipardebilidades en las medidas de control implementadas. Los KCI’s midenla efectividad de los controles implementados.

Al definir el indicador se debe especificar el responsable del monitoreo,la frecuencia de medición, la forma del cálculo, la forma de comunicar losresultados, y el área que debe recibir los resultados del monitoreo.El Oficial de Seguridad de Información determina y propone losIndicadores Claves, los mismos que serán presentados al Comité deRiesgos para conocimiento y conformidad.Los Indicadores Claves de Control (KCI’s) serán definidos en base al

REG-DCP-032-01 Declaración de Aplicabilidad el mismo que contienelos controles de seguridad de información implementados.Los Indicadores Claves de Riesgos (KRI’s) serán definidos para los

riesgos de nivel Alto y Muy Alto de los activos críticos, en el proceso de Administración de Riesgos de Seguridad de Información.

4.3.11. EVALUACIÓN Y ACTUALIZACIÓN DEL SGSI

El Comité de Riesgos debe evaluar los resultados y propuestas de mejora delSistema de Gestión de Seguridad de la Información.Las evaluaciones deben estar sustentadas en:

Evaluación del cumplimiento del Sistema de Gestión de Seguridad de laInformación según auditorías internas. Lecciones aprendidas. Nuevos requerimientos de seguridad de la información de Diners Club Perú.

4.3.12. COMPROMISO DE LA ALTA DIRECCIÓN

La Alta Dirección de Diners Club Perú a través del Comité de Riesgos debecomprometerse con el establecimiento, implementación, operación, monitoreo,revisión, mantenimiento y mejora del Sistema de Gestión de Seguridad de laInformación de Diners Club Perú. Para ello, debe tomar las siguientes iniciativas: Establecer una Política General de Seguridad de la Información. Asegurar que se establezcan los objetivos y planes del SGSI en función a los

objetivos estratégicos de la organización. Comunicar a la organización tanto la importancia de lograr los objetivos,

cumplir con las políticas de seguridad, así como sus responsabilidadeslegales y la necesidad de mejora continua.

Asignar los recursos para el funcionamiento del SGSI en todas sus fases. Decidir los criterios de aceptación de riesgos y sus correspondientes niveles. Apoyar para contar con el respaldo vertical desde el directorio hasta las

gerencias usuarias.


18/19





4.3.13. REVISIÓN DEL SGSI

Al Comité de Riesgos se le debe asignar también la tarea de, al menos una vezal año, revisar el Sistema de Gestión de Seguridad de la Información, para

asegurar que continúe siendo adecuado y eficaz. Para ello, debe recibir unaserie de informaciones, que le ayuden a tomar decisiones, entre las principales: Resultados de auditorías y revisiones del Sistema de Gestión de Seguridad

de la Información. Retroalimentación de las partes interesadas. Técnicas, productos o procedimientos que se podrían utilizar para mejorar el

desempeño y efectividad del Sistema de Gestión de Seguridad de laInformación.

Información sobre el estado de acciones preventivas y correctivas. Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en

evaluaciones de riesgos tecnológicos anteriores.

Resultados de las mediciones de efectividad. Estado de las acciones iniciadas a raíz de revisiones gerenciales anteriores. Cualquier cambio que pueda afectar al Sistema de Gestión de Seguridad de

la Información. Recomendaciones de mejora.

4.3.14. MEJORAMIENTO DEL SGSI

Basándose en todas las informaciones del punto anterior, se debe revisar elSistema de Gestión de Seguridad de la Información y tomar decisiones yacciones preventivas y correctivas relativas a:

Mejorar la efectividad del Sistema de Gestión de Seguridad de la Información. Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos. Modificación de los procedimientos y controles que afecten a la seguridad de

la información, en respuesta a cambios internos o externos en los requisitosde negocio, requerimientos de seguridad de la información, procesos denegocio, marco legal, obligaciones contractuales, niveles de riesgo y criteriosde aceptación de riesgos.

Necesidades de recursos. Mejora de la forma de medir la efectividad de los controles.

5. POLITICAS

Véase el documento DCP-MN-004 Manual de Políticas del Sistema de Gestión de Seguridadde la Información.


19/19





6. ANEXOS Y REGISTROS

REG-DCP-032-01 Declaración de Aplicabilidad

7. BITACORA DE CAMBIOS

Fecha deActualización

Versión Datos de la Actualización

22/10/2014 01

Fuente deCambio

Oficial de Seguridad de la Información

Descripción

El presente documento reemplaza a la Versión 02 deldocumento DCP-GG-M-002 SISTEMA DE GESTION

DE SEGURIDAD DE LA INFORMACION con antiguacodificación.

Adicionalmente, se realizaron los siguientes cambios:

1. Del punto 4.2. Roles y Responsabilidades, semodificaron las siguientes responsabilidades:4.2.7. De la Gerencia Financiero Administrativa – Subgerencia de Recursos Humanos: Se elimino la responsabilidad: Comunicar en forma

clara las funciones de seguridad y responsabilidad alos candidatos al trabajo durante el proceso de

selección.

4.2.8. Del Área Legal:

Se actualizaron todas sus responsabilidades.

4.2.11. De los Propietarios de Información:

Se incluyen las siguientes responsabilidades: Identificar la información restringida o confidencial

de los recursos bajo su responsabilidad en

coordinación con el Oficial de Seguridad de laInformación.

Comunicar los requerimientos de seguridad de lainformación al Oficial de Seguridad de laInformación, para que sean tomados en cuenta en laadquisición, desarrollo y modificación de aplicativos.

Así mismo, se eliminaron las responsabilidades de losCustodios de Información (Administradores).

Se modificó el punto 4.3.4 Estructura deResponsabilidad del SGSI.
http://svrepm/Seguimiento%20y%20Control/Gesti%C3%B3n%20de%20Riesgo%20Operacional/Administraci%C3%B3n%20de%20%20Seguridad%20de%20la%20Informaci%C3%B3n/Anexos%20y%20Registros/REG-DCP-032-01%20Declaraci%C3%B3n%20de%20Aplicabilidad.xlshttp://svrepm/Seguimiento%20y%20Control/Gesti%C3%B3n%20de%20Riesgo%20Operacional/Administraci%C3%B3n%20de%20%20Seguridad%20de%20la%20Informaci%C3%B3n/Anexos%20y%20Registros/REG-DCP-032-01%20Declaraci%C3%B3n%20de%20Aplicabilidad.xlshttp://svrepm/Seguimiento%20y%20Control/Gesti%C3%B3n%20de%20Riesgo%20Operacional/Administraci%C3%B3n%20de%20%20Seguridad%20de%20la%20Informaci%C3%B3n/Anexos%20y%20Registros/REG-DCP-032-01%20Declaraci%C3%B3n%20de%20Aplicabilidad.xls

dcp-mn-002 manual del sistema de gestion de si.pdf

Documents