Este documento establece las políticas de seguridad informática y legalidad de software para una empresa. Detalla objetivos como facilitar decisiones de gerencia sobre seguridad y asegurar que las políticas sean conocidas y cumplidas por todos los usuarios. Incluye secciones sobre licencias de software, derechos de autor, uso de programas libres, seguridad organizacional, control de acceso, monitoreo y cumplimiento legal.
1. HECTOR ELISEO UCEDO PAIRET
POLITICA DE LEGALIDAD DEL SOFTWARE
OBJETIVO: Facilitar la toma de decisiones por parte de la gerencia y otros funcionarios en materia de
seguridad informática.
ALCANCE: Tiene que ser conocida y cumplida por todos los usuarios que utilizan los servicios soportados
por TIC, sean usuarios finales, técnicos y sea cual fuere su nivel jerárquico y su situación laboral.
LICENCIA DE SOFTWARE: Una licencia de software es un contrato entre el licenciante y el licenciatario
del programa informatico, para utilizar el software cumpliendo una serie de termino y condiciones
establecidas dentro de sus clausulas.
DERECHOS DELAUTOR: El derecho de autor es un conjunto de normas jurídicas y principios que
regulan los derechos morales y patrimoniales que la ley concede a los autores, por el solo hecho de la
creación de una obra literaria, artística, musical, científica o didáctica, esté publicada o inédita.
COPYRIGHT: Derecho exclusivo de un autor, editor o concesionario para explotar una obra literaria,
científica o artística durante cierto tiempo.
USO DE PROGRAMA Y UTILITARIOS DE LIBRE UTILIZACION: Código abierto es la expresión
con la que se conoce al software o hardware distribuido y desarrollado libremente.
a. POLÍTICAS DE SEGURIDAD
Política de Seguridad Informática
Documento de Políticas de Seguridad Informática: Toda la documentación referente a la Seguridad
Informática de TIC, inclusive, sin limitación, de las políticas, normas y procedimientos, debe ser clasificada
como "Sólo Para Uso Interno".
Revisión y Evaluación: Este manual debe ser revisado y evaluado de acuerdo al proceso y al comité
establecido para el efecto.
La evaluación debe garantizar que se lleve a cabo una revisión en respuesta a cualquier cambio que pueda
afectar la base original de evaluación de riesgos por ejemplo: Incidentes en seguridad significativos, nuevas
vulnerabilidades o cambios en la infraestructura técnica o de las Empresas a quienes TIC brinda servicios.
*SEGURIDAD ORGANIZACIONAL
Comite de Seguridad Informática:
Compuesto por el Oficial de Seguridad, un representante de Auditoria Informática (como observador), y un
representante de TIC de cada División.
Propiedad de la Información:
La Empresa debe asignar la responsabilidad de la propiedad de la información a una persona única,
interiorizada con toda la información que maneja la Empresa (en adelante Dueño de dato).
*Cambios en Situación de los funcionarios:
Cuando exista alguna modificación en la condición laboral de los funcionarios de las Empresas a quienes
TIC brinda servicio, inclusive, sin limitantes, de los asesores, consultores y pasantes, el Negocio debe
2. HECTOR ELISEO UCEDO PAIRET
reportar inmediatamente a la Gerencia de Recursos Humanos, quienes a su vez deben notificar a TIC a través
de las listas de distribución habilitadas para el efecto, a fin de realizar los cambios en los accesos que posee
dicho funcionario.
*CONTROL DE ACCESO
*Requisitos para el Control de Acceso:
Política de Control de Acceso: El acceso a la información de la Empresa siempre debe estar
autorizado por el Dueño del dato o el designado por éste, y debe limitarse a aquellas personas que lo
necesiten. Conforme al Procedimiento de Gestión de Acceso vigente
Administración del Acceso de Usuario:
Identificador Único de Usuario y Contraseña Obligatorios: Todo usuario debe tener un
identificador único y una contraseña personal secreta para acceder a los equipos informáticos y aplicaciones
de la Empresa.
Finalización de los Privilegios de Acceso: Todos los privilegios informáticos proporcionados por
la Empresa deben terminar cuando el trabajador cesa sus servicios a la misma.
Norma de Creación para Identificadores de Usuario: Para cada sistema nuevo implementado
posterior a la publicación de esta política, los identificadores de usuario de un trabajador de la Empresa
deben ser iguales al asignado en el dominio y deben cumplir las normas para la identificación de usuarios
establecidas dentro de los procedimientos vigentes.
Autorización de Solicitud de Acceso al Sistema: Todas las solicitudes de acceso a los sistemas o
redes de la empresa, deben adaptarse al procedimiento de Gestión de Accesos vigente.
Cambios en Situación de Usuarios: La gerencia de cada Empresa debe informar con prontitud a
RRHH de todos los cambios significativos en las condiciones laborales de los usuarios finales. RRHH a su
vez debe informar a las listas de Distribución correspondientes a fin de realizar las modificaciones a los
privilegios que dicho usuario posee dentro de los sistemas.
Gestión de Contraseñas de Usuario:
Contraseñas Iniciales: Las contraseñas emitidas por los agentes de Mesa de Ayuda deben estar
vencidas, obligando así al usuario a seleccionar otra contraseña antes de completar el procedimiento de inicio
de sesión de Windows y en las aplicaciones vigentes que posean esta opción. Para sistemas nuevos
implementados posterior a la fecha de publicación de este manual, será un requisito obligatorio el uso de
contraseñas vencidas por parte del soporte.
Contraseñas Olvidadas: Todo usuario que olvide o pierda su contraseña debe identificarse
correctamente a fin de que se proceda al restablecimiento de su contraseña, a través de los procesos
definidos.
Desbloqueo de la Contraseña: Los sistemas informáticos deben estar configurados para permitir
sólo tres intentos para introducir la contraseña correcta, luego de lo cual el identificador de usuario debe
quedar bloqueado, pudiendo reiniciarse solamente a través del personal de Mesa de Ayuda correspondiente,
posterior a una correcta identificación.
Contraseñas en Software: Los usuarios y las contraseñas incorporadas al software de desarrollo
3. HECTOR ELISEO UCEDO PAIRET
deben estar encriptados y diferir de los entornos de producción
Cambio de Contraseña de Usuario de máximo privilegio: Si un intruso u otro usuario no
autorizado ha comprometido una contraseña de usuario de máximo privilegio, todas las contraseñas de ese
sistema deben ser cambiadas de inmediato. Se debe aplicar el mismo criterio cuando exista un cese en el
cargo de un personal con conocimiento de las contraseñas de máximo privilegio.
Responsabilidades del Usuario:
Utilización de Contraseñas:
Contraseñas en Distintos Sistemas: Siempre que sea posible, los usuarios deben emplear distintas
contraseñas en cada una de las aplicaciones para los que se les ha otorgado el acceso.
Sospecha de Divulgación de Contraseña: Todo usuario debe cambiar su contraseña de inmediato si
sospecha la divulgación de ésta o si sabe que ha sido divulgada a una persona no autorizada.
Divulgación Pública de Contraseñas: No se deben escribir, publicar, ni dejar las contraseñas en
sitios donde personas no autorizadas pudieran descubrirlas.
Uso de Contraseñas por Terceros: Los usuarios no deben suministrar sus contraseñas a ningún
tercero, incluyendo entre otros, técnicos de soporte, consultores y mesa de ayuda.
Identificadores Personales de Usuario — Responsabilidad: Los usuarios deben responsabilizarse
de toda la actividad realizada con sus identificadores personales de usuario y no deben permitir que otras
personas realicen cualquier actividad con éstos o que realicen actividad alguna con identificadores que
pertenezcan a otros usuarios.
Control de Acceso a la Red
Autorización para Conexiones a Internet: Los funcionarios no deben establecer ninguna conexión
externa que pudiera permitir a personas ajenas a la Empresa obtener acceso a los sistemas informáticos de la
misma, a menos que se obtenga una aprobación previa de la Gerencia de TIC.
Acceso a la Red Interna: Sólo los dispositivos informáticos suministrados por la Empresa y
homologados por TIC deben tener capacidad para acceder a la red interna de la Empresa.
Derechos de Acceso a Internet: Todos los tipos de acceso a Internet, deben contar con autorización
anticipada del Gerente del Área correspondiente que asegure que el usuario tiene una necesidad demostrable
de dicho acceso.
Control de Acceso al Sistema Operativo
Longitud Mínima de Contraseñas: Todas las contraseñas deben tener por lo menos 8 caracteres (al
menos una mayúscula, números y caracteres) y esta longitud debe revisarse siempre de manera automática al
momento en que los usuarios crean y seleccionan sus contraseñas.
Contraseñas para Equipos informáticos conectados a la Red: Todos los equipos informáticos
conectados a la red de la Empresa deben emplear contraseñas que contengan al menos 8 caracteres.
Cambios Obligatorios de Contraseña: Todos los usuarios están obligados de cambiar sus
contraseñas cada 90 días.
Desconexión por Tiempo: Si no ha habido actividad en una Estación de trabajo, o computador
4. HECTOR ELISEO UCEDO PAIRET
personal por 15 minutos, el sistema automáticamente bloqueara la sesión y solicitar una contraseña para
restablecer la sesión. Quedan exentas equipos que estén realizando operaciones directas con el cliente:
Facturación.
Control de Acceso a las Aplicaciones
Actualizaciones de la Base de Datos: Las actualizaciones a las bases de datos de producción sólo
podrán efectuarse a través de procedimientos establecidos.
Monitoreo del Acceso y Uso del Sistema
Monitoreo de Actividad en Internet: Todos los accesos a internet son monitoreados a través de un
software especializado y mensualmente son emitidos informes de navegación a los Gerentes de las
Empresas.
Monitoreo de uso de la mensajería instantánea: Todos las conversaciones enviadas a través de la
aplicación de Mensajería instantánea, son monitoreados y almacenadas. Pueden acceder a estas grabaciones
Auditoria Informática; RRHH y la Dirección de cada Empresa. Mensualmente se emiten informes de uso de
la herramienta a las Gerencias de cada Área.
Registros de Uso de Internet: Los Gerentes de Área deben recibir, revisar y aprobar los reportes de
las páginas web visitadas, los archivos descargados y otros intercambios de información en Internet para las
actividades de negocio del departamento.
Equipos informáticos
Préstamo de equipos informáticos de la empresa: No se debe prestar a un tercero ningún tipo de
dispositivo informático (móvil o desktop) de la Empresa.
PROCEDIMIENTO PARAADQUISICIÓN DE LICENCIAS PARA ESTACIONES DE TRABAJO
•Objetivos
Establecer políticas y normativas para el control de programas licenciados, Sistema Operativo, Aplicaciones
de Oficina y cualquier otro sistema de información que se encuentre protegido bajo leyes nacionales e
internacionales de derecho del autor.
Mantener informados a las Gerencias de TIC cuando se instalen programas sin licencias.
•Alcance
Todo programa licenciado, Sistema Operativo, Aplicaciones de Oficina y cualquier otro sistema de
información que se encuentre protegido bajo leyes nacionales e internacionales de derecho del autor, que
requiera la aceptación de una licencia paga y que sea utiliza en las divisiones soportadas por TIC
•Glosario
* Service Desk: Herramienta de gestión de la mesa de ayuda, utilizada para registrar los pedidos y
aprobaciones de compras prevenientes de clientes.
* Software Licenciados: Son todos los programas y/o aplicaciones informáticas que estén protegidos por la
leyes nacionales o internacionales de derecho de autor, por tanto tienen licencias pagas.
•Roles y Responsables
•Oficial de Cumplimiento: Dueño y responsable del procedimiento, responsable de la toma de decisiones
para los casos excepcionales.
•Jefe de Mesa de Ayuda: Responsable hacer cumplir el procedimiento a los agentes de mesa de ayuda, así
como capacitar a los nuevos recursos en caso de rotación.
5. HECTOR ELISEO UCEDO PAIRET
•Agente de Mesa de Ayuda: Responsable de indicar al cliente el procedimiento para la comprar de equipos
y/o licencias informáticas, también es responsable de canalizar las solicitudes de compra.
•Jefe de Soporte Terreno: Responsable de hacer cumplir el procedimiento a los técnicos de soporte terreno,
así como capacitar a los nuevos recursos en caso de rotación.
•Encargado de Compras: Responsable de preparar y enviar la cotización al cliente y conseguir las
aprobaciones correspondientes, para la compra.
•Jefe o Gerente de Operaciones: responsables de que su sus técnicos conozcan y cumplan el procedimiento,
también es responsable de asignar a una persona el rol de encargado compra.
•Otros roles que participen de manera directa: Son los responsables de cumplir con este procedimiento.
Responsabilidades
El Oficial de Cumplimiento, debe realizar por lo menos un control mensual. Informar cuando los umbrales
de cumplimento de licencias hayan sido superados. El incumplimiento de los pasos detallados en este
procedimiento, será pasibles de amonestaciones, determinadas por la Gerencia de TIC
Procedimientos relacionados
•Procedimiento de Adquisición de Equipos y Solicitud de Licencias
•Procedimiento de Compra de Licencias
•Políticas de Compras BIS
•Manejo de excepciones
Situaciones no contempladas expresa y taxativamente en este documento, serán
escaladas a la Gerencia de TIC para que esta instancia determine su resolución.
Excepciones podrán ser autorizadas solo por el Gerente de TIC
Normativas Generales
a. Este procedimiento tiene vigencia para todas las compañías soportadas por
TIC
b. Todas las instalaciones de programas informáticos licenciados deben tener la
aprobación del Administrador de la compañía
c. El Oficial de Cumplimiento deberá informar a los Gerentes de TIC cuando el
nivel de exposición sea el 30%
•Anexos
Anexo I – Actividades y Tareas
1- El Oficial de Cumplimiento, debe realizar por lo menos un control mensual de
instalación de licencias.
2- El Oficial de Cumplimiento deberá emitir informes a los Gerentes de TIC:
a. Cuando el nivel de exposición supere el 30% en su división.
b. Cuando los Gerentes de TIC lo requieran
•CUMPLIMIENTO
Cumplimiento de Requisitos Legales
Cronograma de Retención de la Información: Todos los registros de contabilidad financiera,
contabilidad de impuestos y documentos legales, deben ser retenidos durante el plazo de tiempo establecido
por Ley.
Consideraciones sobre Auditoría de Sistemas
6. HECTOR ELISEO UCEDO PAIRET
Controles de Auditoría de Sistemas.
Verificación de Cumplimiento de Seguridad Informática: El Auditor Informático debe llevar a
cabo la verificación del cumplimiento de las políticas, normas y procedimientos relacionados con la
seguridad informática.
Incumplimiento a estas políticas: En caso de infracción de las políticas detalladas en este
documento, se informara a RRHH de cada Compañía, a fin de aplicar las sanciones correspondientes
detalladas en los contratos firmados al inicio de la relación laboral.
7. HECTOR ELISEO UCEDO PAIRET
Controles de Auditoría de Sistemas.
Verificación de Cumplimiento de Seguridad Informática: El Auditor Informático debe llevar a
cabo la verificación del cumplimiento de las políticas, normas y procedimientos relacionados con la
seguridad informática.
Incumplimiento a estas políticas: En caso de infracción de las políticas detalladas en este
documento, se informara a RRHH de cada Compañía, a fin de aplicar las sanciones correspondientes
detalladas en los contratos firmados al inicio de la relación laboral.