GESTION GESTION TECNOLOGICATECNOLOGICA

POLÍTICAS DE SEGURIDAD DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIONLA INFORMACION

La seguridad de Información se refiere al establecimiento de las medidas La seguridad de Información se refiere al establecimiento de las medidas organizacionales, técnicas y sociales, necesarias para proteger los activos de organizacionales, técnicas y sociales, necesarias para proteger los activos de información contra acceso no autorizado, divulgación, duplicación, interrupción información contra acceso no autorizado, divulgación, duplicación, interrupción de sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda de sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir en forma intencional o accidental. producir en forma intencional o accidental.

Para el desarrollo del Manual de Políticas se ha tomado como referencia el Para el desarrollo del Manual de Políticas se ha tomado como referencia el estándar ISO 17799, código de práctica para la seguridad de la información, que estándar ISO 17799, código de práctica para la seguridad de la información, que contempla entre otros los siguientes aspectos:contempla entre otros los siguientes aspectos:

Clasificación y control de activos de informaciónClasificación y control de activos de información Seguridad relacionada con las personas. Seguridad relacionada con las personas. Seguridad físicaSeguridad física Administración de comunicaciones y operaciones. Administración de comunicaciones y operaciones. Control de accesoControl de acceso Desarrollo y mantenimiento de sistemas. Desarrollo y mantenimiento de sistemas. Plan de continuidad del negocioPlan de continuidad del negocio. .

POLÍTICAS DE SEGURIDAD DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIONLA INFORMACION

ALCANCEALCANCE

Esta política aplica todos los empleados cualquiera sea su jerarquía, y cualquier otra Esta política aplica todos los empleados cualquiera sea su jerarquía, y cualquier otra persona que tenga acceso a los sistemas de información de la empresa. Todas las persona que tenga acceso a los sistemas de información de la empresa. Todas las personas están obligadas a continuar protegiendo la información de la empresa donde personas están obligadas a continuar protegiendo la información de la empresa donde laboran y cumpliendo las Políticas de seguridad aún después de terminar su relación laboran y cumpliendo las Políticas de seguridad aún después de terminar su relación contractual con la compañía.contractual con la compañía.

También se aplica ésta política a todos los activos de información como: equipos y sistemas También se aplica ésta política a todos los activos de información como: equipos y sistemas informáticos tales como servidores, computadores personales, estaciones de trabajo, informáticos tales como servidores, computadores personales, estaciones de trabajo, elementos de infraestructura tecnológica, bases de datos, sistemas de información que elementos de infraestructura tecnológica, bases de datos, sistemas de información que apoyan los procesos operativos y/o administrativos, que se encuentren bajo apoyan los procesos operativos y/o administrativos, que se encuentren bajo responsabilidad operacional de la empresa. responsabilidad operacional de la empresa.

PROPOSITOPROPOSITO

La implementación de las políticas busca reducir el riesgo de que en forma accidental o La implementación de las políticas busca reducir el riesgo de que en forma accidental o intencional se divulgue, modifique, destruya o mal usen activos de información. Al mismo intencional se divulgue, modifique, destruya o mal usen activos de información. Al mismo tiempo las políticas habilitan a las áreas responsables de la administración de seguridad en tiempo las políticas habilitan a las áreas responsables de la administración de seguridad en orientar y mejorar el nivel de seguridad de los activos de información y proveer las bases orientar y mejorar el nivel de seguridad de los activos de información y proveer las bases para el monitoreo a través de toda la organización.para el monitoreo a través de toda la organización.

USO ADECUADO DE LOS USO ADECUADO DE LOS RECURSOS DE INFORMACIÓNRECURSOS DE INFORMACIÓN

Se deben utilizar los bienes y Se deben utilizar los bienes y recursos asignados para el recursos asignados para el desempeño de su empleo, o la desempeño de su empleo, o la información reservada a que tenga información reservada a que tenga acceso por razón de su función, en acceso por razón de su función, en forma exclusiva para los fines a que forma exclusiva para los fines a que están destinados.están destinados.

Debe existir en todo contrato de Debe existir en todo contrato de trabajo, la norma jurídica de una trabajo, la norma jurídica de una cláusula adicional para que cada cláusula adicional para que cada miembro de la Empresa se miembro de la Empresa se comprometa a utilizar en forma comprometa a utilizar en forma correcta los recursos, asegurando correcta los recursos, asegurando que conoce las políticas y que conoce las políticas y procedimientos así como las procedimientos así como las respectivas sanciones por su respectivas sanciones por su incumplimiento.incumplimiento.

USO PERMITIDO DE LA RED DE USO PERMITIDO DE LA RED DE LA EMPRESALA EMPRESA

Los sistemas de información de la Los sistemas de información de la empresa son primordialmente para uso empresa son primordialmente para uso de asuntos relacionados con la misma.de asuntos relacionados con la misma.

El uso personal de cualquier sistema de El uso personal de cualquier sistema de información para acceder, descargar, información para acceder, descargar, transmitir, distribuir o almacenar material transmitir, distribuir o almacenar material obsceno está enteramente prohibido. obsceno está enteramente prohibido.

Se requiere autorización previa por parte Se requiere autorización previa por parte de la Gerencia para el uso personal o de la Gerencia para el uso personal o uso por fuera de los límites o de las uso por fuera de los límites o de las políticas establecidas, de los recursos políticas establecidas, de los recursos y sistemas de información de la y sistemas de información de la empresa.empresa.

ACCESO A LA RED DE LA ACCESO A LA RED DE LA EMPRESA Y A SUS EMPRESA Y A SUS

SERVICIOSSERVICIOS

El acceso a los sistemas de información deberá contar con la autorización del Jefe o Gerente delárea correspondiente a la solicitud en referencia.

Las identificaciones y claves de acceso a la Red de la empresa, la intranet o a cualquier otrosistema de información son propiedad de la empresa.

El acceso no autorizado a los sistemas de información de la empresa está prohibido. Nadie debe usar la identificación, identidad o contraseña de otro usuario, y de la misma manera ningún usuario debe dar a conocer su contraseña o identificación a otro.

•.

Un usuario no deberá sin permiso escrito por la empresa hacer modificaciones a la red de datos, intranet o a sus recursos.

En la red de datos no está permitida la operación de software para la descarga y distribución de archivos de música, videos y similares.

El acceso a internet en la empresa debe hacerse desde una estación debidamente registrada y/o autorizada por el Departamento de Sistemas.

USO INDEBIDO DE LAS REDES, LAS USO INDEBIDO DE LAS REDES, LAS COMUNICACIONES ELECTRONICASCOMUNICACIONES ELECTRONICAS

Y SISTEMAS DE INFORMACION Y SISTEMAS DE INFORMACION

•.

Intentar modificar, reubicar o sustraer del lugar donde han sido instalados o configurados, equipos de cómputo, software, información o periféricos sin la debida autorización. Enviar cualquier comunicación electrónica fraudulenta. Violar cualquier licencia de software o derechos de autor, incluyendo la copia o distribución de software protegido legalmente sin la autorización escrita del propietario del software.

Usar las comunicaciones electrónicas para violar los derechos de propiedad de los autores y revelar información privada sin el permiso explícito del dueño así mismo como leer la información o archivos de otros usuarios sin su permiso. Lanzar cualquier tipo de virus, gusano, o programa de computador cuya intención sea hostil o destructiva. 

USO INDEBIDO DE LAS REDES, LAS USO INDEBIDO DE LAS REDES, LAS COMUNICACIONES ELECTRONICASCOMUNICACIONES ELECTRONICAS

Y SISTEMAS DE INFORMACION Y SISTEMAS DE INFORMACION

•.

Descargar o publicar material ilegal, con derechos de propiedad o material nocivo usando un computador o correo electrónico de la empresa. Transportar o almacenar material con derechos de propiedad o material nocivo utilizando las redes de datos. Introducir cualquier tipo de programas o instalar cualquier software sin la autorización por escrito del Departamento de Sistemas.

Instalar o usar software de espionaje, monitoreo de tráfico o programas maliciosos en la red de la empresa.

 

REPARACION Y MANTENIMIENTO DE EQUIPOS:REPARACION Y MANTENIMIENTO DE EQUIPOS:

•.

El Departamento de sistemas tiene la autoridad para acceder archivos individuales o datos cada vez que deban realizar mantenimiento, reparación o chequeo de equipos de computación

Cuando por alguna causa razonable determinada por el Coordinador del Departamento de Sistemas sospeche de algún tipo de uso indebido el puede acceder cualquier cuenta, datos, archivos, o servicio de información perteneciente a los involucrados en el incidente

RESPUESTA AL USO INDEBIDO DE COMPUTADORES Y RESPUESTA AL USO INDEBIDO DE COMPUTADORES Y SISTEMAS DE INFORMACIONSISTEMAS DE INFORMACION

INSTALACION Y USO DE SOFTWARE:INSTALACION Y USO DE SOFTWARE:

•.

Todo usuario está obligado a conocer el alcance de uso de cada una de las licencias de software a su disposición por esta razón la información estará disponible en la Intranet de la empresa.

Cuando por alguna causa razonable determinada por el Coordinador del Departamento de Sistemas sospeche de algún tipo de uso indebido el puede acceder cualquier cuenta, datos, archivos, o servicio de información perteneciente a los involucrados en el incidente

RESPUESTA AL USO INDEBIDO DE COMPUTADORES Y RESPUESTA AL USO INDEBIDO DE COMPUTADORES Y SISTEMAS DE INFORMACIONSISTEMAS DE INFORMACION

CORREO ELECTRONICO E INTERNETCORREO ELECTRONICO E INTERNET

Todas las políticas incluidas en este documento son aplicables al correo electrónico de la empresa. El correo electrónico debe usarse de manera profesional y cuidadosa dada su facilidad de envío y redirección.

USO DE LA CONTRASEÑA USO DE LA CONTRASEÑA •.

1. Elección de Contraseñas2. Protección de Contraseñas3. Gestión de Contraseñas4. Uso de Contraseñas

Se refiere a la copia de los datos que residen en los discos duros de las estaciones de trabajo o Servidores de la compañía, de tal forma que estas copias adicionales puedan restaurar un sistema después de una perdida de información.

Su objetivo es mantener cierta capacidad de recuperación de la información ante posibles pérdidas.

BACKUPSBACKUPS