Embed Size (px)
Citation preview
Cumplimiento Circular G-140-2009 ANDREZ LAMOUROUX S. Security Solutions Manager LATAM
Circular N° G-140-2009
La Superintendencia de Banca, Seguros y AFP
publica el 6 de Abril de 2009 en el Diario El
Peruano, la Circular G-140-2009 Gestión de la
Seguridad de la Información.
Artículo 1° - Alcance
La presente Circular será de
aplicación a las empresas
señaladas en los artículos 16° y
17° de la Ley General, así como
a las Administradoras Privadas
de Fondos de Pensiones (AFP),
en adelante empresas.
Bancos y Financieras
Fiduciarias
Aseguradoras Capitalización
y Factoring
Cooperativas de Ahorro y
Crédito
AFP
Quienes deben cumplir?
G-140-2009
Artículo 3° - SGSI
Las empresas deberán
establecer, mantener y
documentar un sistema de
gestión de la seguridad de la
información (SGSI)
• Definición de una política de seguridad de información aprobada por el Directorio.
Artículo 3° - SGSI
• Mantenimiento de registros adecuados que permitan verificar el cumplimiento de las normas, estándares, políticas, procedimientos y otros definidos por la empresa, así como mantener pistas adecuadas de auditoría.
Artículo 3° - SGSI
Artículo 4° - Estructura organizacional
Las empresas deben contar con
una estructura organizacional
que les permita
implementar y mantener el
sistema de gestión de la
seguridad de información
señalado en el artículo anterior.
• Asegurar el cumplimiento de la política de seguridad de información y de la metodología definida.
Artículo 4° - Estructura organizacional
La consecuente aplicación de la política de seguridad garantiza la permanente disponibilidad de los recursos informáticos y la integridad de la información como principal activo de las entidades.
Artículo 5° - Controles de seguridad de la información
Como parte de su sistema de
gestión de la seguridad de
información, las empresas
deberán considerar, como
mínimo, la implementación de
los controles generales que se
indican en el presente artículo.
• Controles especiales sobre utilidades del sistema y herramientas de auditoría.
Artículo 5° - Controles de seguridad de la información
Implementar auditoria sobre los accesos controlados y eventos relacionados con la protección del sistema, dispositivos y comunicaciones de red.
• Seguimiento sobre el acceso y uso de los sistemas para detectar actividades no autorizadas.
Artículo 5° - Controles de seguridad de la información
Reportar actividades relacionadas con accesos no autorizados, intentos de violación de los controles establecidos
• Controles especiales sobre usuarios remotos y computación móvil.
Artículo 5° - Controles de seguridad de la información
Implementar controles y políticas de
seguridad persistentes
independientemente del estado de
conectividad.
• Controles preventivos y de detección sobre el uso de software de procedencia dudosa, virus y otros similares.
Artículo 5° - Controles de seguridad de la información
Implementar controles y protecciones contra códigos
maliciosos, software espía, rootkits y malware en general
conocido y desconocido.
• Seguridad sobre las redes, medios de almacenamiento y documentación de sistemas.
Artículo 5° - Controles de seguridad de la información
Implementar controles de acceso a la red, sistemas de prevención de intrusiones y controles de uso de dispositivos removibles de almacenamiento y de acceso a los archivos contenidos.
• Seguridad sobre el intercambio de la información, incluido el correo electrónico.
Artículo 5° - Controles de seguridad de la información
Restringir o controlar las transferencias de archivos a través de programas de mensajería instantánea, clientes FTP, y navegadores Web.
• Seguridad sobre canales electrónicos.
Artículo 5° - Controles de seguridad de la información
Controlar el acceso a la red por parte de las aplicaciones. Forzar el uso de canales y/o protocolos de comunicación seguros en conexiones inalámbricas y externas a la red corporativa.
• Mantenimiento de registros de auditoría y monitoreo del uso de los sistemas.
Artículo 5° - Controles de seguridad de la información
Registrar todo tipo de actividad relacionada con los controles establecidos, ataques de seguridad y operaciones de acceso a archivos y a las aplicaciones. Monitorear el estado de conectividad y seguridad de los puntos finales.
• Aplicar técnicas de encriptación sobre la información crítica que debe ser protegida.
Artículo 5° - Controles de seguridad de la información
Implementar políticas de encriptación en dispositivos removibles de almacenamiento y en discos duros fijos.
• Definir controles sobre la implementación de aplicaciones antes del ingreso a producción.
Artículo 5° - Controles de seguridad de la información
Aplicar políticas de control de aplicaciones en modo de pruebas para comprobar la seguridad y protección antes de su puesta en producción.
• Controlar las vulnerabilidades técnicas existentes en los sistemas de la empresa.
Artículo 5° - Controles de seguridad de la información
Prevenir el aprovechamiento de las vulnerabilidades del sistema operativo y de cualquier software instalado. Proteger contra ataques específicamente diseñados para explotar
vulnerabilidades o defectos en las aplicaciones y el sistema operativo.
Para los usuarios
Asegurar disponibilidad 24x7, e integridad de los computadores de usuario.
Permite el despliegue de nuevas aplicaciones y herramientas de productividad.
Proteger activos corporativos, dentro y fuera de las instalaciones de la organización.
Aplicar políticas consecuentes para toda la organización.
TCO bajo: un agente, una consola, una única instalación a una dirección, un gran rango de aspectos.
Alto nivel de disponibilidad del punto final hacia nuevas reglas corporativas.
Para el negocio
Control centralizado de la red de trabajo hacia el punto final.
Integración inmediata con la infraestructura existente (implementación, antivirus, monitoreos)
Mayor tranquilidad del usuario cuando se requiere aplicar un parche sobre el sistema o aplicaciones de terceros.
Para personal del area
tecnológica
¿Cuáles son los beneficios?
Hechos
Líder en el mercado Latinoamericano de TI (4° región / IDC 2010)
Presencia de más de 10 años en la región
Más de 1200 clientes de todos los sectores en Suramérica
Implementación de más de 850.0000 licencias.
Único con índice positivo de crecimiento en el mercado latinoamericano de TI (IDC 2010)
Recursos
Máxima certificación equipo humano (ITIL Expert).
Centro de soporte Aranda SUPPORT CENTER (ASC)
Grupo de soporte certificado ITIL
Centro de innovación Aranda Labs
Red internacional integrada por más de 100 partners en la región
Centro de entrenamiento Aranda e-Learning
Tecnología
Certificación modelo CMMi Dev 1.2 nivel 2.
Oficinas de investigación y desarrollo en Bogotá D.C. (región)
Procesos certificados - Pink Elephant – Pink Verify TM Service Support Enhanced v3.1 - ITIL v3
Quienes Somos Entorno Soluciones | | | Casos de Éxito Servicios | | Clientes |
Aranda Software
Miami México Costa Rica Guatemala Colombia Brasil Venezuela Chile Argentina Perú
Agenda Quienes Somos Entorno Soluciones | | | Casos de Éxito Servicios | | Clientes |
Misión
Con Aranda:
* Estaciones de trabajo, equipos portátiles, servidores, equipos activos, etc.
En Aranda Software estamos empeñados en facilitar la gestión de
infraestructura tecnológica de las empresas que quieren transformar la
tecnología en valor para su negocio.
Nuestro compromiso es ofrecerle soluciones tecnológicas sencillas de
adquirir, implantar, mantener y crecer, a las empresas interesadas en
buenas prácticas de gestión de TI.
Disminuya el costo de propiedad, soporte, operación y
seguridad.
Mejore los tiempos de respuesta de atención a sus usuarios.
Mantenga actualizada la información de la infraestructura TI.
Aumente la productividad de los empleados.
Gestione el ciclo de vida de los procesos y activos* de TI
Asegure las estaciones de trabajo y la información de su
organización.
Agenda Quienes Somos Entorno Soluciones | | | Casos de Éxito Servicios | | Clientes |
SOPORTE Incidentes, problemas, cambios, reportes, etc. Niveles de servicio, etc.
CONSULTORIA Recomendación mejores prácticas. Levantamiento, y mapeo de procesos, etc.
RENOVACIÓN CONTRATOS Actualización contratos soporte, mantenimiento. Actualizaciones versiones de soluciones.
EDUCACIÓN Capacitación – certificación en herramientas Levantamiento, y mapeo de procesos, etc.
Agenda Quienes Somos Entorno Soluciones | | | Casos de Éxito Servicios | | Clientes |
Agenda Quienes Somos Entorno Soluciones | | | Casos de Éxito Servicios | | Clientes |
Algunos de nuestros clientes
Telecomunicaciones Servicios Banca
Agenda Quienes Somos Entorno Soluciones | | | Casos de Éxito Servicios | | Clientes |
Industria Gobierno Finanzas y Aseguradoras
Agenda Quienes Somos Entorno Soluciones | | | Casos de Éxito Servicios | | Clientes |
Más de
1200 Clientes en
América Latina
Educación Otros
Agenda Quienes Somos Entorno Soluciones | | | Casos de Éxito Servicios | | Clientes |
Principales Clientes en Perú
![Ejercicio g1[1]](https://img.pdfslide.es/doc/110x75/55b7e9d2bb61ebb07b8b4642/ejercicio-g11-55bd33a0e262f.jpg)
