3. POLÍTICAS DE SEGURIDAD DE
LA INFORMACION
La seguridad de Información se refiere al establecimiento de las medidas
organizacionales, técnicas y sociales, necesarias para proteger los activos de
información contra acceso no autorizado, divulgación, duplicación, interrupción
de sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda
producir en forma intencional o accidental.
Para el desarrollo del Manual de Políticas se ha tomado como referencia el
estándar ISO 17799, código de práctica para la seguridad de la información, que
contempla entre otros los siguientes aspectos:
Clasificación y control de activos de información
Seguridad relacionada con las personas.
Seguridad física
Administración de comunicaciones y operaciones.
Control de acceso
Desarrollo y mantenimiento de sistemas.
Plan de continuidad del negocio.
4. POLÍTICAS DE SEGURIDAD DE
LA INFORMACION
ALCANCE
Esta política aplica todos los empleados cualquiera sea su jerarquía, y cualquier otra
persona que tenga acceso a los sistemas de información de la empresa. Todas las
personas están obligadas a continuar protegiendo la información de la empresa donde
laboran y cumpliendo las Políticas de seguridad aún después de terminar su relación
contractual con la compañía.
También se aplica ésta política a todos los activos de información como: equipos y sistemas
informáticos tales como servidores, computadores personales, estaciones de trabajo,
elementos de infraestructura tecnológica, bases de datos, sistemas de información que
apoyan los procesos operativos y/o administrativos, que se encuentren bajo responsabilidad
operacional de la empresa.
PROPOSITO
La implementación de las políticas busca reducir el riesgo de que en forma accidental o
intencional se divulgue, modifique, destruya o mal usen activos de información. Al mismo
tiempo las políticas habilitan a las áreas responsables de la administración de seguridad en
orientar y mejorar el nivel de seguridad de los activos de información y proveer las bases
para el monitoreo a través de toda la organización.
5. USO ADECUADO DE LOS
RECURSOS DE INFORMACIÓN
Se deben utilizar los bienes y
recursos asignados para el
desempeño de su empleo, o la
información reservada a que tenga
acceso por razón de su función, en
forma exclusiva para los fines a que
están destinados.
Debe existir en todo contrato de
trabajo, la norma jurídica de una
cláusula adicional para que cada
miembro de la Empresa se
comprometa a utilizar en forma
correcta los recursos, asegurando
que conoce las políticas y
procedimientos así como las
respectivas sanciones por su
incumplimiento.
6. USO PERMITIDO DE LA RED DE
LA EMPRESA
Los sistemas de información de la
empresa son primordialmente para uso
de asuntos relacionados con la misma.
El uso personal de cualquier sistema de
información para acceder, descargar,
transmitir, distribuir o almacenar material
obsceno está enteramente prohibido.
Se requiere autorización previa por parte
de la Gerencia para el uso personal o
uso por fuera de los límites o de las
políticas establecidas, de los recursos
y sistemas de información de la
empresa.
7. .
•
ACCESO A LA RED DE LA
EMPRESA Y A SUS
SERVICIOS
El acceso a los sistemas de información deberá contar con la autorización del Jefe o Gerente del
área correspondiente a la solicitud en referencia.
Las identificaciones y claves de acceso a la Red de la empresa, la intranet o a cualquier otro
sistema de información son propiedad de la empresa.
El acceso no autorizado a los sistemas de información de la empresa está prohibido. Nadie debe
usar la identificación, identidad o contraseña de otro usuario, y de la misma manera ningún
usuario debe dar a conocer su contraseña o identificación a otro.
Un usuario no deberá sin permiso escrito por la empresa hacer modificaciones a la red de datos,
intranet o a sus recursos.
En la red de datos no está permitida la operación de software para la descarga y distribución de
archivos de música, videos y similares.
El acceso a internet en la empresa debe hacerse desde una estación debidamente registrada
y/o autorizada por el Departamento de Sistemas.
8. .
•
USO INDEBIDO DE LAS REDES, LAS
COMUNICACIONES ELECTRONICAS
Y SISTEMAS DE INFORMACION
Intentar modificar, reubicar o sustraer del lugar donde han sido
instalados o configurados, equipos de cómputo, software, información o
periféricos sin la debida autorización.
Enviar cualquier comunicación electrónica fraudulenta.
Violar cualquier licencia de software o derechos de autor, incluyendo la
copia o distribución de software protegido legalmente sin la autorización
escrita del propietario del software.
Usar las comunicaciones electrónicas para violar los derechos de
propiedad de los autores y revelar información privada sin el permiso
explícito del dueño así mismo como leer la información o archivos de
otros usuarios sin su permiso.
Lanzar cualquier tipo de virus, gusano, o programa de computador cuya
intención sea hostil o destructiva.
9. .
•
USO INDEBIDO DE LAS REDES, LAS
COMUNICACIONES ELECTRONICAS
Y SISTEMAS DE INFORMACION
Descargar o publicar material ilegal, con derechos de propiedad o
material nocivo usando un computador o correo electrónico de la
empresa.
Transportar o almacenar material con derechos de propiedad o material
nocivo utilizando las redes de datos.
Introducir cualquier tipo de programas o instalar cualquier software sin
la autorización por escrito del Departamento de Sistemas.
Instalar o usar software de espionaje, monitoreo de tráfico o programas
maliciosos en la red de la empresa.
10. .
•
REPARACION
Y MANTENIMIENTO DE EQUIPOS:
El Departamento de sistemas tiene la
autoridad para acceder archivos
individuales o datos cada vez que deban
realizar mantenimiento, reparación o
chequeo de equipos de computación
RESPUESTA AL USO INDEBIDO DE COMPUTADORES Y
SISTEMAS DE INFORMACION
Cuando por alguna causa razonable
determinada por el Coordinador del
Departamento de Sistemas sospeche
de algún tipo de uso indebido el puede
acceder cualquier cuenta, datos,
archivos, o servicio de información
perteneciente a los involucrados en el
incidente
11. .
•
INSTALACION Y USO DE SOFTWARE:
Todo usuario está obligado a conocer el alcance de uso de cada
una de las licencias de software a su disposición por esta razón la
información estará disponible en la Intranet de la empresa.
RESPUESTA AL USO INDEBIDO DE COMPUTADORES Y
SISTEMAS DE INFORMACION
Cuando por alguna causa razonable determinada por el Coordinador del
Departamento de Sistemas sospeche de algún tipo de uso indebido el
puede acceder cualquier cuenta, datos, archivos, o servicio de
información perteneciente a los involucrados en el incidente
CORREO ELECTRONICO E INTERNET
Todas las políticas incluidas en este documento son aplicables al correo
electrónico de la empresa. El correo electrónico debe usarse de manera
profesional y cuidadosa dada su facilidad de envío y redirección.
12. .
•
USO DE LA CONTRASEÑA
1.
2.
3.
4.
Elección de Contraseñas
Protección de Contraseñas
Gestión de Contraseñas
Uso de Contraseñas
BACKUPS
Se refiere a la copia de los datos que
residen en los discos duros de las
estaciones de trabajo o Servidores de la
compañía, de tal forma que estas copias
adicionales puedan restaurar un sistema
después de una perdida de información.
Su objetivo es mantener cierta
capacidad de recuperación de la
información ante posibles pérdidas.