90 3.- POLTICAS DE SEGURIDAD 3.1 GENERALIDADESLaseguridadinformticaha tomadogranauge,debidoalascambiantes condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad deinterconectarseatravsderedes,haabiertonuevoshorizontesalas empresas para mejorar su productividad y poder explorar ms all de las fronterasnacionales,locuallgicamentehatradoconsigo,laaparicin denuevasamenazasparalossistemasdeinformacin.Estosriesgos queseenfrentanhanllevadoaquesedesarrolleundocumentode directricesqueorientanenelusoadecuadodeestasdestrezas tecnolgicasyrecomendacionesparaobtenerelmayorprovechode estasventajas,yevitarelusoindebidodelamismas,locualpuede ocasionarseriosproblemasalosbienes,serviciosyoperacionesdela empresa Sudamericana de Software S.A. 91 En este sentido, las polticas de seguridad informtica definidas partiendo desdeelanlisisdelosriesgosalosqueseencuentrapropensaSASF, surgencomounaherramientaorganizacionalparaconcienciaralos colaboradores de la organizacin sobre la importancia y sensibilidad de la informacinyservicioscrticosquepermitenalaempresacrecery mantenerse competitiva. Ante esta situacin, el proponer nuestra poltica deseguridadrequiereunaltocompromisoconlaorganizacin,agudeza tcnica para establecer fallas y debilidades en su aplicacin, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea a SASF. 3.2 ALCANCE DE LAS POLTICASEste manual de polticas de seguridad es elaborado de acuerdo al anlisis deriesgosydevulnerabilidadesenlasdependenciasdeSudamericana deSoftwareS.A.,porconsiguienteelalcancedeestaspolticas,se encuentra sujeto a la empresa. 92 3.3 OBJETIVOSDesarrollar un sistema de seguridad significa "planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad fsica de los recursos informticos, as como resguardar los activos de la empresa". Los objetivos que se desean alcanzar luego de implantar nuestro sistema de seguridad son los siguientes: Establecer unesquema de seguridad con perfecta claridadytransparenciabajolaresponsabilidaddeSASFenlaadministracin del riesgo. Compromiso de todoelpersonaldela empresa con el proceso deseguridad,agilizandolaaplicacindeloscontrolescondinamismoy armona. Que la prestacin del servicio de seguridad gane en calidad. Todos los empleadosse convierten en interventores del sistema deseguridad. 93 3.4 ANLISIS DE LAS RAZONES QUE IMPIDEN LA APLICACIN DE LASPOLTICAS DE SEGURIDAD INFORMTICAApesardequeungrannmerodeorganizacionescanalizansus esfuerzosparadefinirdirectricesdeseguridadyconcretarlasen documentosqueorientenlasaccionesdelasmismas,muypocas alcanzan el xito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas polticas de seguridad informtica. Otros inconvenientes lo representan los tecnicismos informticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informtica o losespecialistasenseguridad,quellevanalosaltosdirectivosa pensamientoscomo:"msdineroparajuguetesdelDepartamentode Sistemas". Estasituacinhallevadoaquemuchasempresasconactivosmuy importantes, se encuentren expuestas a graves problemas de seguridad y riesgosinnecesarios,queenmuchoscasoscomprometeninformacin sensitivayporendesuimagencorporativa.Anteestasituacin,los encargados de la seguridad deben confirmar que las personas entienden 94 los asuntos importantes de la seguridad, conocen sus alcances y estn de acuerdo con las decisiones tomadas en relacin con esos asuntos. Sisequierequelaspolticasdeseguridadseanaceptadas,deben integrarsealasestrategiasdelnegocio,asumisinyvisin,conel propsitodequequienestomanlasdecisionesreconozcansu importancia e incidencias en las proyecciones y utilidades de la empresa. Finalmente,esimportantesealarquelaspolticasporssolasno constituyenunagarantaparalaseguridaddelaempresa,ellasdeben responder a intereses y necesidades empresariales basadas en la visin denegocio,quellevenaunesfuerzoconjuntodesusactorespor administrar sus recursos, y a reconocer en los mecanismos de seguridad informtica factores que facilitan la formalizacin y materializacin de los compromisos adquiridos con la empresa. 95 3.5 RESPONSABILIDADESEsresponsabilidaddelsupervisordeSeguridadInformtica,desarrollar, someterarevisinydivulgarenadicinalosdemsmediosde difusin (intranet,email,sitioweboficial,revistasinternas)delosProcedimientos deSeguridad.Asimismo,esresponsabilidaddelsupervisorinmediato capacitarasusempleadosenlorelacionadoconlosProcedimientosde Seguridad. 3.6 DEFINICIN DE POLTICAS DE SEGURIDAD INFORMTICAEn esta seccin del documento se presenta una propuesta de polticas de seguridad,comounrecursoparamitigarlosriesgosalosque Sudamericana de SoftwareS.A. se ve expuesta. 3.6.1 DISPOSICIONES GENERALESArticulo1.-Elpresenteordenamientotieneporobjetoestandarizary contribuir al desarrollo informtico de las diferentes reas de la Empresa Sudamericana de Software S.A.(SASF) 96 Articulo 2.- Para los efectos de este instrumento se entender por:ComitAlequipointegradoporlaGerencia,losJefesdereayelpersonal administrativo (ocasionalmente) convocado para fines especficos como: Adquisiciones de Hardware y softwareEstablecimientode estndaresdela Empresa SASFtantode hardware como de softwareEstablecimiento de la Arquitectura tecnolgica de grupo.Establecimiento de lineamientos para concursos de ofertas

Administracin de informticaEstintegradaporlaGerenciayJefesderea,lascualesson responsables de: Velar por el funcionamientodela tecnologa informtica que se utiliceen las diferentes reas.Elaborar y efectuar seguimiento del Plan Maestro de InformticaDefinir estrategias y objetivos a corto, mediano y largo plazoMantener la Arquitectura tecnolgica 97 Controlar la calidad del servicio brindadoMantener el Inventario actualizado de los recursos informticosVelar porel cumplimiento de las PolticasyProcedimientosestablecidos.

Articulo3.-Paralosefectosdeestedocumento,seentiendepor PolticasenInformtica,alconjuntodereglasobligatorias,quedeben observarlosJefesdeSistemasresponsablesdelhardwareysoftware existenteenSASF,siendoresponsabilidaddelaAdministracinde Informtica,vigilarsuestrictaobservanciaenelmbitodesu competencia, tomando las medidas preventivas y correctivas para que se cumplan.

Articulo4.-LasPolticasenInformticasonelconjuntode ordenamientosylineamientosenmarcadosenelmbitojurdicoy administrativodeSASF.Estasnormasinciden enlaadquisicinyeluso delosBienesyServiciosInformticos,lascualessedeberndeacatar invariablemente,poraquellasinstanciasqueintervengandirectay/o indirectamente en ello. 98 Articulo 5.- La instancia rectora de los sistemas de informtica de SASF eslaGerencia,yelorganismocompetenteparalaaplicacindeeste ordenamiento, es el Comit. Articulo6.-LasPolticasaqucontenidas,sondeobservanciaparala adquisicinyusodebienesyserviciosinformticos,enSASF,cuyo incumplimiento generar que se incurra en responsabilidad administrativa; sujetndosealodispuestoenlaseccinResponsabilidades Administrativas de Sistemas. Articulo7.-SASFdebercontarconunJefeoresponsable,enelque recaigalaadministracindelosBienesyServicios,quevigilarla correctaaplicacindelosordenamientosestablecidosporelComity dems disposiciones aplicables.

99 3.6.2LINEAMIENTOSPARALAADQUISICINDEBIENES INFORMTICOSArticulo8.-Todaadquisicindetecnologainformticaseefectuara travsdelComit,queestconformadoporelpersonaldela Administracin de Informtica.

Articulo 9.- La adquisicin de Bienes de Informtica en SASF, quedar sujeta a los lineamientos establecidos en este documento. Articulo10.-LaAdministracindeInformtica,alplanearlas operaciones relativas a la adquisicin de Bienes informticos, establecer prioridadesyensuseleccindebertomarencuenta:estudiotcnico, precio,calidad,experiencia,desarrollotecnolgico,estndaresy capacidad, entendindose por:

Precio Costoinicial,costodemantenimientoyconsumiblesporelperodo estimado de uso de los equipos; 100 Calidad Parmetrocualitativoqueespecificalascaractersticastcnicasdelos recursos informticos. Experiencia Presenciaenel mercadonacionaleinternacional, estructuradeservicio, laconfiabilidaddelosbienesycertificadosdecalidadconlosquese cuente. Desarrollo TecnolgicoSedeberanalizarsugradodeobsolescencia,suniveltecnolgicocon respecto a la oferta existente y su permanencia en el mercado. Estndares Todaadquisicinsebasaenlosestndares,esdecirlaarquitecturade grupoempresarialestablecida porelComit.Estaarquitecturatieneuna permanencia mnima de dos a cinco aos. 101 Capacidades Sedeberanalizarsisatisfacelademandaactualconunmargende holgura y capacidad de crecimiento para soportar la carga de trabajo del rea.

Articulo 11.- Para la adquisicin de Hardware se observar lo siguiente: El equipoquesedeseeadquirirdeber estar dentro de las listas deventasvigentesdelosfabricantesy/odistribuidoresdelmismoy dentro de los estndares de SASF. Los equipos complementarios debern tener una garanta mnima deun ao y debern contar con el servicio tcnico correspondiente en el pas. Debernser equipos integradosde fbricaoensambladosconcomponentes previamente evaluados por el Comit.La marca de losequipos ocomponentes deber contar con presenciay permanencia demostrada en el mercado nacional e internacional, as comoconasistenciatcnicayrefaccionarialocal.Tratndosede microcomputadores,afindemanteneractualizadalaarquitectura 102 informticadeSASF,elComitemitirperidicamentelas especificaciones tcnicas mnimas para su adquisicin. Los dispositivosdealmacenamiento,ascomolasinterfacesdeentrada/salida,debernestaracordesconlatecnologadepunta vigente,tantoenvelocidaddetransferenciadedatos,comoen procesamiento.Las impresoras debern apegarse a los estndares de Hardware ySoftwarevigentesenelmercadoyenSASF,corroborandoquelos suministros (cintas, papel, etc.) se consigan fcilmente en el mercado y no estn sujetas a un solo proveedor.Conjuntamente con losequipos, sedeber adquirirelequipocomplementarioadecuadoparasucorrectofuncionamientode acuerdoconlasespecificacionesdelosfabricantes,yqueesta adquisicin se manifieste en el costo de la partida inicial.Los equipos adquiridos deben contar, de preferencia con asistenciatcnica durante la instalacin de los mismos. En lo que se refiere a los servidores, equipos de comunicaciones, concentradoresdemedios(HUBS)yotrosequiposquesejustifiquen por ser de operacin crtica y/o de alto costo, deben de contar con un programademantenimientopreventivoycorrectivoqueincluyael suministro de refacciones al vencer su perodo de garanta. 103 En lo que se refiere a los computadores denominados personales, alvencer su garanta por adquisicin, deben de contar por lo menos con unprogramadeserviciodemantenimientocorrectivoqueincluyael suministro de refacciones. Todo proyecto de adquisicin de bienes de informtica, debe sujetarse al anlisis, aprobacin y autorizacin del Comit. Articulo 12.- En la adquisicin de Equipo de cmputo se deber incluir el Softwarevigenteprecargadoconsulicenciacorrespondiente considerando las disposiciones del artculo siguiente.

Articulo 13.- Para la adquisicin de Software base y utilitarios, el Comit daraconocerperidicamentelastendenciascontecnologadepunta vigente, siendo la lista de productos autorizados la siguiente: Plataformas de Sistemas Operativos MS-Windows 104 Linux. Bases de Datos Oracle Lenguajes y herramientas de programacin Loslenguajesyherramientasdeprogramacinqueseutilicendeben ser compatibles con las plataformas enlistadas.PL/SQLJAVAORACLE Forms ORACLE Reports ORACLE Designer ORACLE Workflow Builder PL/SQLDeveloper ORACLE Jdeveloper Macromedia Dreamweaver Macromedia Fireworks Java Decompiler 105 Utilitarios de oficina Microsoft Office Star Office Programas antivirus Norton Antivirus McAfee Manejador de correo electrnico Microsoft Outlook Navegadores de Internet Internet Explorer Mozilla Comprimidores de archivos Winzip Winrar 106 Encasosexcepcionales,sloseadquirirnlasltimasversiones liberadasdelosproductosseleccionados,salvosituacionesespecficas que se debern justificar ante el Comit. Todos los productos de Software que se adquieran debern contar con su licencia de uso, documentacin y garanta respectivas. Articulo 14.- Todos los productos de Software que se utilicen a partir de la fecha en que entre en vigor el presente ordenamiento, debern contar consulicenciadeusorespectiva;porloquesepromoverla regularizacinoeliminacindelosproductosyainstaladosqueno cuenten con el debido licenciamiento.

Articulo 15.- Para la operacin del software de red en caso de manejar losdatosempresarialesmediantesistemasdeinformacin,sedeber tener en consideracin lo siguiente: Toda la informacin institucional deber invariablemente ser operada atravs de un mismo tipo de sistema manejador de base de datos para beneficiarsedelosmecanismosdeintegridad,seguridady recuperacin de informacin en caso de presentarse alguna falla. 107 El accesoalossistemasdeinformacin, debercontarconlosprivilegiosnivelesdeseguridaddeaccesosuficientespara garantizar la seguridad total de la informacin institucional. Los niveles deseguridaddeaccesodeberncontrolarseporunadministrador nico y poder ser manipulado por software.Sedebendelimitarlasresponsabilidadesen cuantoaquinestautorizadoaconsultary/omodificarencadacasolainformacin, tomando las medidas de seguridad pertinentes.Los datos de los sistemas de informacin,deben ser respaldados deacuerdoalafrecuenciadeactualizacindesusdatos,rotandolos dispositivosderespaldoyguardandorespaldoshistricos peridicamente.Esindispensablellevarunabitcoraoficialdelos respaldosrealizados,asimismo,losCDsderespaldodebern guardarseenunlugardeaccesorestringidoconcondiciones ambientales suficientes para garantizar su conservacin. En cuanto a lainformacindelosequiposdecmputopersonales,laUnidadde Informticarecomiendaalosusuariosquerealicensuspropios respaldos en la red o en medios de almacenamiento alternos. Todos los sistemas de informacin que se tengan en operacin, debencontarconsusrespectivosmanualesactualizados.Untcnicoque describalaestructurainternadelsistemaascomolosprogramas, 108 catlogosyarchivosqueloconformanyotroquedescribaalos usuarios del sistema y los procedimientos para su utilizacin.Los sistemas de informacin, deben contemplar el registro histrico delastransaccionessobredatosrelevantes,ascomolaclavedel usuarioyfechaenqueserealiz(NormasBsicasdeAuditoriay Control). Se deben implantar rutinas peridicas de auditoria a la integridad delosdatosydelosprogramasdecmputo,paragarantizarsu confiabilidad.

Articulo 16.- Para la prestacin del servicio de desarrollo o construccin de Software aplicativo se observar lo siguiente: Todoproyectodecontratacindedesarrollooconstruccindesoftware requieredeunestudiodefactibilidadquepermitaestablecerla rentabilidaddelproyectoascomolosbeneficiosqueseobtendrndel mismo.

109 3.6.3 INSTALACIONES DE LOS EQUIPOS DE CMPUTO Articulo 17.- La instalacin del equipo de cmputo, quedar sujeta a los siguientes lineamientos: Losequiposparauso internoseinstalarnenlugaresadecuados,lejos de polvo y trfico de personas.LaAdministracindeInformtica, ascomolasreasoperativasdeberncontarconuncroquisactualizadodelasinstalaciones elctricas y de comunicaciones del equipo de cmputo en red.Las instalaciones elctricas y decomunicaciones, estarndepreferencia fijas o en su defecto resguardadas del paso de personas o mquinas, y libres de cualquier interferencia elctrica o magntica.Las instalaciones se apegarn estrictamente a los requerimientos delosequipos,cuidandolasespecificacionesdelcableadoydelos circuitos de proteccin necesarios. Enningncasosepermitirninstalacionesimprovisadaso sobrecargadas. 110 Articulo18.-Lasupervisinycontroldelasinstalacionessellevara cabo en los plazos y mediante los mecanismos que establezca el Comit. 3.6.4 LINEAMIENTOS EN INFORMTICA: INFORMACINArticulo19.-Lainformacinalmacenadaenmediosmagnticosse deberinventariar,anexandoladescripcinylasespecificacionesdela misma, clasificndola en tres categoras: Informacin histrica para auditorias. Informacin de inters de la EmpresaInformacin de inters exclusivo de alguna rea en particular. Articulo 20.- Los jefes de rea responsables de la informacin contenida enlosdepartamentosasucargo,delimitarnlasresponsabilidadesde sussubordinadosydeterminarnquienestautorizadoaefectuar operacionesemergentescondichainformacintomandolasmedidasde seguridad pertinentes. 111 Articulo 21.- Se establecen tres tipos de prioridad para la informacin: Informacin vital para el funcionamiento del rea;Informacin necesaria, pero no indispensable en el rea. Informacin ocasional o eventual. Articulo22.-Encasodeinformacinvitalparaelfuncionamientodel rea, se debern tener procesos colaborativos, as como tener el respaldo diariodelasmodificacionesefectuadas,rotandolosdispositivosde respaldo y guardando respaldos histricos semanalmente. Articulo23.-Lainformacinnecesariaperonoindispensable,deber serrespaldadaconunafrecuenciamnimadeunasemana,rotandolos dispositivos de respaldo y guardando respaldos histricos mensualmente. Articulo 24.- El respaldo de la informacin ocasional o eventual queda a criterio del rea. 112 Articulo25.-Lainformacinalmacenadaenmediosmagnticos,de carcterhistrico,quedardocumentadacomoactivosdelreayestar debidamente resguardada en su lugar de almacenamiento.Esobligacindelresponsabledelrea,laentregaconvenientedelainformacin, a quien le suceda en el cargo.

Articulo26.-Lossistemasdeinformacinenoperacin,comolosque se desarrollen debern contar con sus respectivos manuales. Un manual delusuarioquedescribalosprocedimientosdeoperacinyelmanual tcnicoquedescribasuestructurainterna,programas,catlogosy archivos.

Articulo27.-Ningncolaboradorenproyectosdesoftwarey/otrabajos especficos, deber poseer, parausosnopropiosdesuresponsabilidad, ningn material o informacin confidencial de SASF tanto ahora como en el futuro. 113 3.6.5 FUNCIONAMIENTO DE LOS EQUIPOS DE CMPUTOArticulo28.-EsobligacindelaAdministracindeInformticavigilar que el equipo de cmputo se use bajo las condiciones especificadas por el proveedor y de acuerdo a las funciones del rea a la que se asigne. Articulo29.-Loscolaboradoresdelaempresaalusarelequipode cmputo,seabstendrndeconsumiralimentos,fumarorealizaractos que perjudiquen el funcionamiento del mismo o deterioren la informacin almacenadaenmediosmagnticos,pticos,omediosde almacenamiento removibles de ltima generacin. Articulo30.-Porseguridaddelosrecursosinformticossedeben establecer seguridades: FsicasSistema OperativoSoftwareComunicacionesBase de Datos 114 ProcesoAplicaciones Por ello se establecen los siguientes lineamientos: Mantener claves de acceso que permitan el uso solamente al personalautorizado para ello.Verificarlainformacinque provengadefuentesexternas afindecorroborarqueestlibredecualquieragentecontaminanteo perjudicial para el funcionamiento de los equipos.Mantener plizas de seguros de los recursos informticos enfuncionamiento

Articulo31.-Enningncasoseautorizarlautilizacindedispositivos ajenos a los procesos informticos del rea.Por consiguiente, se prohbe elingresoy/oinstalacin de hardwareysoftwareparticular,esdecirque noseapropiedaddeSASF,exceptoencasosemergentesquela Direccin autorice.

115 3.6.6 PLAN DE CONTINGENCIAS INFORMATICASArticulo32.-LaAdministracindeInformticacrearparalos departamentosunplandecontingenciasinformticasqueincluyaal menos los siguientes puntos: Continuar con la operacin del rea con procedimientos informticosalternos. Tener los respaldos de informacin en un lugar seguro, fuera del lugaren el que se encuentran los equipos.Tener el apoyo por medios magnticos o en forma documental, de lasoperaciones necesarias para reconstruir los archivos daados. Contar con un instructivo de operacin para la deteccin de posiblesfallas,paraquetodaaccincorrectivaseefecteconlamnima degradacin posible de los datos. Contar con un directorio del personal interno y del personal externo desoporte,alcualsepuedarecurrirenelmomentoenquesedetecte cualquier anomala. Ejecutar pruebas de la funcionalidad del plan. Mantener revisiones del plan a fin de efectuar las actualizacionesrespectivas. 116 3.6.7 ESTRATEGIASINFORMTICASArticulo 33.- La estrategia informtica de SASF se consolida en el Plan Maestro de Informtica y est orientada hacia los siguientes puntos: Plataforma de Sistemas Abiertos (Portables). Esquemas de operacin bajo el concepto multicapas.Estandarizacindehardware,softwarebase,utilitariosyestructuras de datosIntercambio de experiencias entre Departamentos.Manejo de proyectos conjuntos con las diferentes reas.Programadecapacitacinpermanenteparaloscolaboradoresdela empresa. Articulo 34.- Para la elaboracin de los proyectos informticos y para la presupuestacindelosmismos,setomarnencuentantantolas necesidadesdehardwareysoftwaredelreasolicitante,comola disponibilidad de recursos con los que cuente SASF.

117 3.6.8 ACCESO FSICO Articulo35.-Sloalpersonalautorizadoleestpermitidoelaccesoa las instalaciones donde se almacena la informacin confidencial de SASF. Articulo36.-Slobajolavigilanciadepersonalautorizado,puedeel personalexternoentrarenlasinstalacionesdondesealmacenala informacin confidencial, y durante un perodo de tiempo justificado. 3.6.9 IDENTIFICADORES DE USUARIO Y CONTRASEAS Articulo 37.- Todos los usuarios con acceso a un sistema de informacin o a una red informtica, dispondrn de una nica autorizacin de acceso compuesta de identificador de usuario y contrasea. Articulo 38.- Ningn usuario recibir un identificador de acceso a la Red deComunicaciones,RecursosInformticosoAplicacioneshastaqueno acepte formalmente la Poltica de Seguridad vigente. 118 Articulo39.-Losusuariostendrnaccesoautorizadonicamentea aquellosdatosyrecursosqueprecisenparaeldesarrollodesus funciones,conformealoscriteriosestablecidosporelresponsabledela informacin. Artculo 40.- La longitud mnima de las contraseas ser igual o superior aochocaracteres,yestarnconstituidasporcombinacindecaracteres alfabticos, numricos y especiales. Artculo41.-Losidentificadoresparausuariostemporalesse configurarnparauncortoperododetiempo.Unavezexpiradodicho perodo, se desactivarn de los sistemas. 3.6.10 RESPONSABILIDADES PERSONALES Artculo42.-Losusuariossonresponsablesdetodaactividad relacionada con el uso de su acceso autorizado. 119 Artculo43.-Losusuariosnodebenrevelarbajoningnconceptosu identificador y/o contrasea a otra persona ni mantenerla por escrito a la vista, ni al alcance de terceros. Artculo 44.- Los usuarios no deben utilizar ningn acceso autorizado de otro usuario, aunque dispongan de la autorizacin del propietario. Artculo 45.- Si un usuario tiene sospechas de que su acceso autorizado (identificadordeusuarioycontrasea)estsiendoutilizadoporotra persona, debe proceder al cambio de su contrasea e informar a su jefe inmediato y ste reportar al responsable de la administracin de la red. Artculo 46.- El Usuario debe utilizar una contrasea compuesta por un mnimodeochocaracteresconstituidaporunacombinacinde caracteres alfabticos, numricos y especiales. Artculo 47.- La contrasea no debe hacer referencia a ningn concepto, objetooideareconocible.Portanto,sedebeevitarutilizarenlas 120 contraseasfechassignificativas,dasdelasemana,mesesdelao, nombres de personas, telfonos. Artculo48.-Encasoqueelsistemanolosoliciteautomticamente,el usuariodebecambiarlacontraseaprovisionalasignadalaprimeravez que realiza un acceso vlido al sistema. Artculo 49.- En el caso que el sistema no lo solicite automticamente, el usuario debe cambiar su contrasea como mnimo una vez cada 30 das. Encasocontrario,selepodrdenegarelaccesoysedebercontactar coneljefeinmediatoparasolicitaraladministradordelaredunanueva clave. Artculo50.-Proteger,enlamedidadesusposibilidades,losdatosde carcterpersonalalosquetienenacceso,contrarevelacionesno autorizadasoaccidentales,modificacin,destruccinomaluso, cualquiera que sea el soporte en que se encuentren contenidos los datos. 121 Artculo51.-Guardarportiempoindefinidolamximareservaynose debe emitir al exterior datos de carcter personal contenidos en cualquier tipo de soporte. Artculo52.-Utilizarelmenornmerodelistadosquecontengandatos decarcterpersonalymantenerlosmismosenlugarseguroyfueradel alcance de terceros. Artculo53.-Cuandoentreenposesindedatosdecarcterpersonal, seentiendequedichaposesinesestrictamentetemporal,ydebe devolverlossoportesquecontienenlosdatosinmediatamentedespus delafinalizacindelastareasquehanoriginadoelusotemporal delos mismos. Artculo54.-Losusuariosslopodrncrearficherosquecontengan datosdecarcterpersonalparaunusotemporalysiemprenecesario para el desempeo de su trabajo. Estos ficheros temporales nunca sern ubicadosenunidadeslocalesdediscodelacomputadoradetrabajoy 122 deben ser destruidos cuando hayan dejado de ser tiles para la finalidad para la que se crearon. Artculo55.-Losusuariosdebennotificarasujefeinmediatocualquier incidencia que detecten que afecte o pueda afectar a la seguridad de los datos de carcter personal: prdida de listados y/o disquetes, sospechas deusoindebidodelaccesoautorizadoporotraspersonas,recuperacin de datos. Artculo 56.- Los usuarios nicamente introducirn datos identificativos y direccioneso telfonosdepersonas enlas agendas decontactosdelas herramientas ofimticas (por ejemplo en Outlook) 3.6.11 SALIDA DE INFORMACIN Artculo 57.- Toda salida de informacin (en soportes informticos o por correoelectrnico)slopodrserrealizadaporpersonalautorizadoy sernecesarialaautorizacinformaldelresponsabledelreadelque proviene. 123 Artculo58.-Adems,enlasalidadedatosespecialmenteprotegidos (comosonlosdatosdecarcterpersonalparalosqueelReglamento requieremedidasdeseguridaddenivelalto),sedeberncifrarlos mismosoutilizarcualquierotromecanismoquegaranticequela informacin no sea inteligible ni manipulada durante su transporte. 3.6.12 USO APROPIADO DE LOS RECURSOS Artculo57.-LosRecursosInformticos,Datos,Software,Red CorporativaySistemasdeComunicacinElectrnicaestndisponibles exclusivamenteparacumplimentarlasobligacionesypropsitodela operativaparalaquefuerondiseadoseimplantados.Todoelpersonal usuariodedichosrecursosdebesaberquenotieneelderechode confidencialidad en su uso. Queda Prohibido Artculo 58.- El uso de estos recursos para actividades no relacionadas con el propsito del negocio, o bien con la extralimitacin en su uso. 124 Artculo59.- directamente especificados como parte del Software o de los Estndares de los Recursos Informticos propios de SASF. Artculo60.- Corporativa contenidos obscenos, amenazadores, inmorales u ofensivos. Queda prohibidoArtculo61.- applets,controlesActiveXocualquierotrodispositivolgicoosecuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteracinodaoenlosRecursosInformticos.Elpersonalcontratado porSASFtendrlaobligacindeutilizarlosprogramasantivirusysus actualizacionesparaprevenirlaentradaenlosSistemasdecualquier elemento destinado a destruir o corromper los datos informticos. Artculo62.- de daar los datos, programas o documentos electrnicos. 125 Artculo63.- locales de disco de los computadores de trabajo. Artculo64.-Cualquierficherointroducidoenlaredcorporativaoenel puestodetrabajodelusuarioatravsdesoportesautomatizados, Internet,correoelectrnicoocualquierotromedio,debercumplirlos requisitosestablecidosenestasnormasy,enespecial,lasreferidasa propiedad intelectual y control de virus. 3.6.13 SOFTWARE Artculo65.-TodoelpersonalqueaccedealosSistemasde InformacindeSASF debeutilizarnicamentelasversionesdesoftware facilitadas y siguiendo sus normas de utilizacin. Artculo 66.-cualquier programa, incluidos los estandarizados. 126 Artculo67.-programas instalados legalmente. 3.6.14 RECURSOS DE RED De forma rigurosa, ninguna persona debe: Artculo68.- equipodecomunicaciones(Ej.mdem)queposibilitelaconexinala Red Corporativa. Artculo69.-tros medios que no sean los definidos. Artculo70.- aquellos que les hayan sido asignados. 127 Artculo 71.- Informacin o de la Red Corporativa. Artculo72.- Sistemas de Informacin. Artculo73.- cifradoycualquierotroelementodeseguridadqueintervengaenlos procesos telemticos. Artculo74.- interferirsobreeltrabajodeotrosUsuarios,nidaaroalterarlos Recursos Informticos. 128 3.6.15 CONECTIVIDAD A INTERNET Artculo75.-LaautorizacindeaccesoaInternetseconcede exclusivamenteparaactividadesdetrabajo.Todosloscolaboradoresde SASF tienen las mismas responsabilidades en cuanto al uso de Internet. Artculo 76.- delaRedestablecidaparaello,esdecir,pormediodelsistemade seguridadconcortafuegosincorporadoenlamisma.Noestpermitido accederaInternetllamandodirectamenteaunproveedordeserviciode accesoyusandounnavegador,oconotrasherramientasdeInternet conectndose con un mdem. Artculo77.- actividadesenInternetdebenestarenrelacincontareasyactividades del trabajo desempeado. Artculo78.- en conexin con actividades propias del trabajo desempeado. 129 Artculo79.- datosimportante,confidencialorelevante,slosepodrntransmitiren forma encriptada. 3.6.16 ACTUALIZACIONES DE LA POLTICA DE SEGURIDAD Artculo80.-Debidoalapropiaevolucindelatecnologaylas amenazasdeseguridad,yalasnuevasaportacioneslegalesenla materia,SASFsereservaelderechoamodificarestaPolticacuando seanecesario.LoscambiosrealizadosenestaPolticasern divulgados a todos los colaboradores de SASF. Artculo81.-Esresponsabilidaddecadaunodeloscolaboradoresde SASF la lectura y conocimiento de la Poltica de Seguridad ms reciente. 3.6.17 DISPOSICIONES TRANSITORIASArtculo primero.- Las disposiciones aqu enmarcadas, entrarn en vigor a partir del da siguiente de su difusin. 130 Artculosegundo.-Lasnormasypolticasobjetodeestedocumento, podrn ser modificadas o adecuadas conforme a las necesidades que se vayan presentando, mediante acuerdo del Comit Tcnico de Informtica delaEmpresaSASF(CTI);unavezaprobadasdichasmodificacioneso adecuaciones, se establecer su vigencia. Artculotercero.-Lasdisposicionesaqudescritasconstarndeforma detallada en los manuales de polticas y procedimientos especficos. Artculocuarto.-Lafaltadeconocimientodelasnormasaqudescritas por parte de los colaboradores no los libera de la aplicacin de sanciones y/o penalidades por el incumplimiento de las mismas. 3.7BENEFICIOSDEIMPLANTARPOLTICASDESEGURIDAD INFORMTICALosbeneficiosdeunsistemadeseguridadconpolticasclaramente concebidas bien elaboradas son inmediatos, ya que SASF trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: 131 Aumento de la productividad.Aumento de la motivacin del personal.Compromiso con la misin de la compaa.Mejora de las relaciones laborales.Ayuda a formar equipos competentes.Mejora de los climas laborales para los Recursos Humanos.