POLITICAS INFORMATICAS.pdf

POLITICAS INFORMATICAS 1
POLITICAS INFORMATICAS
Guatemala,
PRESENTADO POR:
Licda. María Eugenia Alvarez Gómez MSc.

INTRODUCCION
La informática y los sistemas de información se han convertido cada
día en componentes esenciales dentro de las organizaciones. Esto
conlleva a la necesidad de tener mejores controles así como
políticas y normas que resguarden su buen uso, al igual que dejar
claramente establecido con el personal que conforma la
ORGANIZACIÓNla relevancia de la protección de las información,
el equipo y los sistemas que la conforman.
Villa las Mercedes no es la excepción. El crecimiento de sus
sistemas informáticos a futuro, demanda en este momento sentar
las bases sólidas, que permitan el crecimiento ordenado y seguro
de los mismos, lo que permitirá mayor confianza de sus colegiados
y directivos respecto de ellos.
Es por esto que el establecimiento de políticas y normas no solo
conlleva aspectos informáticos sino también comportamentales y la
participación del personal para lograr que las normativas funcionen
óptimamente. Al igual que la responsabilidad de directores y
gerentes en la aplicación y el cumplimiento de las mismas.
Este proceso requiere del mayor apoyo a nivel de directivos de la
ORGANIZACIÓN, así como estar claramente convencidos que los
procesos son continuos y no eventuales, lo cual implica dar
seguimiento a las acciones tomadas y actualizar los que se
considere conveniente en la brevedad posible.
Así mismo, la divulgación de las políticas, normas y programas de
sensibilización son parte fundamental en la consecución de los
objetivos planteados en este tipo de iniciativas.

DEFINICION DE POLITICAS
ENTORNO ORGANIZACIONAL
Establecimiento de las normativas de comportamiento de los empleados
de acuerdo a la misión y visión de la ORGANIZACIÓN
En las instituciones se requiere que sus empleados tengan un grado alto de
lealtad hacia las mismas, por lo tanto su visión y misión siempre irá enfocada
en la eficiencia de las actividades y en muchos casos prestar un servicio
eficiente y eficaz, para lograr los objetivos propuestos, es por ello que es
importante tomar en consideración algunos aspectos que no tiene que pasar
desapercibidos para que el personal de la ORGANIZACIÓNrealice sus
actividades de una manera correcta y ética, para lo cual es necesario que entre
otros aspectos se tome en cuenta lo siguiente:
o La atención debe ir permanentemente hacia las relaciones laborales;
o Es necesario indagar, cuestionar y diagnosticar las actitudes individuales
y grupales frente a las “exposiciones internas”;
o La Medición del clima organizacional puede estar orientada también a la
prevención del Fraude; ya no sólo a la sanidad de las relaciones
humanas; Atención y cuidado con poderes paralelos de facto. Por
ejemplo: “roscas” establecidas por antigüedad, afinidad, compadrazgos,
protecciones mutuas, etc.
Esto es un proceso permanente, no basta con identificar a los empleados
honestos con principios, los Valores se reflejan en el día a día, pero
particularmente en situaciones delicadas por presiones externas,
competencia, situaciones políticas, trato con clientes, con proveedores, etc.,
recordemos que el cambio permanente de la tecnología involucra cambios
procedurales y, como ya se indicó, surgen y crecen las exposiciones.
Por lo anterior es necesario revisar, desde el punto de vista psicológico:
 ¿Quién tiene a su cargo la gestión del cambio?
 ¿Quién será el ejecutor de campo?
 ¿A qué tendrá acceso?
 ¿Quién será el implementador?
 ¿Quién definirá los alcances del cambio, sus criterios de aprobación y
aceptación?
 ¿Quién definirá los “sets de pruebas”, si es que se harán?

Requerimientos Tecnológicos
Establecimiento de Políticas respecto al acceso y resguardo de la
información
1. PROPÓSITO
Es el propósito de este documento definir la política administrativa y proveer
una guía respecto al uso responsable de los sistemas de información
electrónicos de la ORGANIZACIÓN.
2. GENERALIDADES
La ORGANIZACIÓNse esmera en facilitar el acceso a sus unidades, personal
técnico, operativo y administradores y directivos (los "usuarios"), a fuentes de
información nacionales e internacionales y a proveer un ambiente que fomente
la difusión del conocimiento, el proceso de creación y los esfuerzos de
colaboración, dentro de la misión, de servicio a los clientes y proveedores de la
ORGANIZACIÓN.
El acceso a los sistemas de información electrónica en la ORGANIZACIÓNes
un privilegio y no un derecho, y debe ser tratado de esta manera por todos los
usuarios de dichos sistemas.
Todos los usuarios deben actuar honesta y responsablemente. Cada usuario
es responsable por la integridad de estos recursos. Todos los usuarios deben
respetar los derechos de otros usuarios, respetar la integridad de las
instalaciones físicas y sus métodos de control, y respetar toda licencia
pertinente y acuerdo contractual que este relacionado con los sistemas de
información de la ORGANIZACIÓN.
Todos los usuarios deberán actuar de acuerdo con estos lineamientos y las
leyes nacionales pertinentes. El incumplimiento de esta política puede resultar
en la negación de acceso a los sistemas de información de la
ORGANIZACIÓNo a otras acciones disciplinarias.
La ORGANIZACIÓNpuede restringir o prohibir el uso de sus sistemas de
información en cualquier caso en el que se demuestre alguna violación de
estas políticas o de alguna ley.
3. DEFINICIONES
Para los propósitos de esta política se aplicarán las siguientes definiciones:
a. "Comunicaciones electrónicas" incluyen todo uso de los sistemas de
información para comunicar o publicar material y contenido por medio de
servicios como correo electrónico, foros de discusión, páginas html, o
alguna herramienta similar.
b. "Sistemas de información" incluye cualquier sistema físico o aplicación
de software que sea administrado por la ORGANIZACIÓNy por los

cuales ella sea responsable, como computadores, redes, servidores,
enrutadores y aparatos similares junto con sus aplicaciones de red o
aplicaciones de escritorio como sistemas operativos, aplicaciones de
Internet.
c. "Redes" incluye varios sistemas electrónicos como redes de video,
datos, voz y dispositivos de almacenamiento.
d. "Material no permitido" incluye la transmisión, distribución o
almacenamiento de todo material que viole cualquier ley aplicable. Se
incluye sin limitación, material protegido por derechos de reproducción,
marca comercial, secreto comercial, u otro derecho sobre la propiedad
intelectual utilizada sin la debida autorización y material que resulte
obsceno, difamatorio o ilegal bajo las leyes nacionales.
4. USO PERMITIDO
a. Uso para asuntos de la ORGANIZACIÓN
 Los sistemas de información de la ORGANIZACIÓNson
primordialmente para uso de asuntos relacionados con la misma.
 El uso de Internet en los equipos asignados es exclusivo para los
directivos y gerentes.
 El personal administrativo podrá acceder a Internet a través del
equipo de uso común instalado para este efecto, y estará
disponible para uso exclusivo de temas de trabajo. Para utilizarlo
en temas de investigación y/o estudios, se requerirá previa
autorización del jefe inmediato superior.
 El uso personal de cualquier sistema de información para
acceder, descargar, transmitir, distribuir o almacenar material
obsceno está enteramente prohibido.
 Bajo ninguna circunstancia el uso personal de estos sistemas por
parte de los empleados de la ORGANIZACIÓNdebe influir de
manera negativa en el desempeño de las tareas y
responsabilidades para con la ORGANIZACIÓN.
 El uso personal puede ser negado en casos en los que se haga
uso excesivo de los recursos de los sistemas de información.
b. Autorización previa requerida para uso personal o para uso fuera de los
límites de la ORGANIZACIÓN.
 El uso de los recursos de sistemas de información o equipo que
tenga como objetivo cualquier tipo de ganancia económica
personal para cualquier usuario esta prohibido con excepción de
algún uso especial que sea autorizado formalmente por la
ORGANIZACIÓNa través del Gerente General.
5. ACCESO
El acceso no autorizado a los sistemas de información de la
ORGANIZACIÓNesta prohibido.

 Nadie debe usar la identificación, identidad o contraseña de otro
usuario, y de la misma manera ninguno debe dar a conocer su
contraseña o identificación a otro, excepto en casos que faciliten
la reparación o el mantenimiento de algún servicio o equipo y en
este caso debe dar a conocer estos datos única y exclusivamente
a miembros del Departamento de Informática de la
ORGANIZACIÓN.
 Cuando un usuario termina su relación con la ORGANIZACIÓN,
sus identificaciones y contraseñas para todos los sistemas de
información serán eliminadas inmediatamente.
6. USO INDEBIDO DE COMPUTADORES Y REDES.
El uso indebido de sistemas de información está prohibido. Este uso indebido
incluye:
a. Acceder sin la debida autorización, mediante computadores, software,
información o redes de la ORGANIZACIÓN, a recursos externos o que
pertenezcan a la ORGANIZACIÓN.
b. Alterar, falsificar o de alguna otra forma usar de manera fraudulenta los
registros de la ORGANIZACIÓNo cualquiera externo (incluyendo
registros computarizados, permisos, documentos de identificación, u
otros documentos o propiedades.)
c. Cualquier tipo de deshonestidad laboral.
d. Descargar o publicar material ilegal, con derechos de propiedad o
material nocivo usando un computador de la ORGANIZACIÓN.
e. Descargar y/o instalar programas de juegos o acceder a los mismos por
otros medios no autorizados.
f. Enviar cualquier comunicación electrónica fraudulenta.
g. Instalación y /o uso de programas no autorizados para “chatear” en
especial los tipos PPP (ej. Windows Messenger, ICQ, Kazzaa, Yahoo
Messenger, etc).
h. Intentar modificar, reubicar o sustraer equipos de cómputo, software,
información o periféricos sin la debida autorización.
i. Interferir sin autorización el acceso a otros usuarios a los recursos de los
sistemas de información.
j. Lanzar cualquier tipo de virus, gusano, o programa de computador cuya
intención sea hostil o destructiva.
k. Leer la información o archivos de otros usuarios sin su permiso.
l. Monitorear las comunicaciones electrónicas para obtener o fabricar
datos de investigación.
m. Transgredir o burlar las verificaciones de identidad u otros sistemas de
seguridad.
n. Transportar o almacenar material con derechos de propiedad o material
nocivo usando las redes de la ORGANIZACIÓN.
o. Usar las comunicaciones electrónicas para acosar o amenazar a los
usuarios de la ORGANIZACIÓNo externos, que de alguna manera
interfiera con el desempeño de los empleados.
p. Usar las comunicaciones electrónicas para adueñarse del trabajo de
otros individuos, o de alguna manera apropiarse de trabajo ajeno.

q. Usar las comunicaciones electrónicas para dañar o perjudicar de alguna
manera los recursos disponibles electrónicamente.
r. Usar las comunicaciones electrónicas para revelar información privada
sin el permiso explícito del dueño.
s. Usar las comunicaciones electrónicas para violar los derechos de
propiedad de los autores.
t. Uso personal de cualquier sistema de información de la
ORGANIZACIÓNpara acceder, descargar, imprimir, almacenar, redirigir,
transmitir o distribuir material obsceno.
u. Utilizar fondos y/o descansadotes de pantalla diferentes a los
autorizados por la ORGANIZACIÓN.
v. Utilizar los sistemas de información para propósitos ilegales o no
autorizados.
w. Violar cualquier ley o regulación nacional respecto al uso de sistemas de
información.
x. Violar cualquier licencia de software o derechos de autor, incluyendo la
copia o distribución de software protegido legalmente sin la autorización
escrita del propietario del software.
7. PRIVACIDAD
a. La privacidad de los usuarios no está garantizada.
 Cuando los sistemas de información de la
ORGANIZACIÓNfuncionan correctamente, un usuario puede
considerar los datos que genere como información privada, a
menos que el autor de los datos realice alguna acción para
revelarlo a otros.
 Los usuarios deben estar conscientes sin embargo, de que
ningún sistema de información es completamente seguro, que
personas dentro y fuera de la ORGANIZACIÓNpueden encontrar
formas de tener acceso a la información. DE ACUERDO CON
ESTO, LA ORGANIZACIÓNNO PUEDE, Y NO GARANTIZA LA
PRIVACIDAD DE LOS USUARIOS, y los usuarios deben estar
conscientes de ello permanentemente, especialmente si hacen
uso indebido o sin autorización.
b. Reparación y mantenimiento de equipos.
 Los usuarios deben saber que ocasionalmente el personal técnico
tiene la autoridad para acceder archivos individuales o datos cada
vez que deban realizar un mantenimiento o reparación o chequeo
de equipos de computación.
 Sin embargo el personal técnico de sistemas no puede excederse
su autoridad en ninguna de estas eventualidades para usar esta
información para propósitos diferentes a los de mantenimiento o
reparación.
c. Respuesta al uso indebido de computadores y sistemas de información.
 Cuando por alguna causa razonable determinada por el Gerente
General o quien lo sustituya, se cree que algún tipo de uso

indebido se ha presentado como se describe en el numeral 6
(seis) de este documento, la Administración de la
ORGANIZACIÓNpuede acceder cualquier cuenta, datos,
archivos, o servicio de información perteneciente a los
involucrados en el incidente, para investigar y aplicar las
sanciones correspondientes.
 Todos los miembros del departamento de Informática están en la
obligación de monitorear constantemente los sistemas de
información de la ORGANIZACIÓNa través de los medios
correspondientes para responder oportunamente a cualquier
acción que atente contra la integridad, disponibilidad, seguridad, o
desempeño correcto de los mismos mediante la negación,
restricción de acceso a usuarios o sistemas, aislamiento o
desconexión de equipos o servicios.
 Los incidentes deben ser informados al Gerente General con la
mayor cantidad de evidencia posible, para tomar las medidas
correspondientes.
 NOTA: ESTE TIPO DE ACCIONES ES MEJOR SI SE REALIZA
CON PERSONAL A NIVEL DE STAFF PARA MANTENER UN
MEJOR NIVEL DE CONTROL Y SEGURIDAD.
d. Acceso a la información de los empleados en lo referente a las
operaciones de la ORGANIZACIÓN.
 Los empleados de la ORGANIZACIÓNllevan a cabo las tareas
administrativas y operativas con los sistemas de información de la
misma.
 Cada empleado controla el acceso a información particular
almacenada en los sistemas de información.
 Sin embargo, si un empleado no estuviere disponible, se
encontrare incapacitado o se negare a proveer información
necesaria para llevar a cabo cualquier operación financiera,
técnica o administrativa de la ORGANIZACIÓN, previa
autorización por parte del Gerente General o quien haga sus
veces, el departamento de Informática puede tener acceso a
estos archivos, datos, o partes individuales de los sistemas de
información.
8. CORREO ELECTRÓNICO
a. Aplicabilidad.
 Todas las políticas incluidas en este documento son aplicables al
correo electrónico.
 El correo electrónico debe ser utilizado única y exclusivamente
para fines de trabajo y no de diversión o personales.
 El correo electrónico debe usarse de manera profesional y
cuidadosa dada su facilidad de envío y redirección.
 No debe distribuirse a través de este medio mensajes obscenos,
mal intencionados o que tengan contenidos que desprestigien a la
organización.

 Los usuarios deben ser especialmente cuidadosos con los
destinatarios colectivos y los foros de discusión.
 Las leyes de derechos de autor y licencias de software también
aplican para el correo electrónico.
b. Retención del correo electrónico.
 Los mensajes de correo electrónico deben ser borrados una vez
que la información contenida en ellos ya no sea de utilidad.
 Cuando se envían comunicaciones por correo electrónico estas
son guardadas en un backup con propósitos de recuperación en
caso de fallos.
 El resguardo de esta información en los backups no excederá un
período de siete días, por lo que la responsabilidad del resguardo
de datos contenidos en los mensajes es responsabilidad de cada
usuario.
9. PAGINAS Web Y SISTEMA DE MANEJO DE CONTENIDO
El Gerente General o quien lo sustituya, determinará los estándares para
aquellos contenidos considerados como oficiales de la ORGANIZACIÓN.
Ninguna otra página o contenido electrónico puede hacer uso de los logos de la
ORGANIZACIÓN sin la debida autorización.
Los editores de las páginas Web que usen información asociada con la
ORGANIZACIÓN deben acogerse a las políticas de la ORGANIZACIÓN y
deben acogerse a la ley y a las regulaciones incluyendo derechos de autor, y
otras afines. El contenido debe ser revisado periódicamente para asegurar
continuamente su veracidad.
10. NOTIFICACIÓN
Está política debe adicionarse al contrato de trabajo de todo empleado y a las
matrículas, adicionalmente debe ser colocada en Internet para notificar a los
usuarios de su existencia.
11. APLICACIÓN Y CUMPLIMIENTO
Esta política aplica a todos los integrantes de la ORGANIZACIÓN, sean estos
ejecutivos, operativos, técnicos o personal administrativo.

POLÍTICA RESPECTO AL RESGUARDO DE LA INFORMACIÓN
TANTO IMPRESA COMO DIGITALIZADA
En esta fase se debe de centralizar en todos los procedimientos relativos
resguardar la información relacionada a:
1. Controles Generales
2. Sistemas de Información.
3. Equipos de Cómputo.
4. Obtención y almacenamiento de los Respaldos de Información (BACKUPS).
5. Políticas (Normas y Procedimientos de Backups).
6. Resguardo de información
7. Uso Aceptable de Equipo Informático
8. Resguardo Físico del Centro de Cómputo
1. CONTROLES GENERALES
Objetivo: Impedir la exposición al riesgo o robo de la información o de las
instalaciones de procesamiento de la misma.
Las instalaciones de procesamiento de la información y la información deben
ser protegidas contra la divulgación, modificación o robo por parte de personas
no autorizadas, debiéndose implementar controles para minimizar pérdidas o
daños.
Políticas de escritorios y pantallas limpias.
Las organizaciones deben considerar la adopción de una política de
escritorios limpios para proteger documentos en papel y dispositivos de
almacenamiento removibles y una política de pantallas limpias en las
instalaciones de procesamiento de información, a fin de reducir los riesgos
de acceso no autorizado, perdida y daño de la información durante el
horario normal de trabajo y fuera del mismo.
La política contempla las clasificaciones de seguridad de la información,
los riesgos correspondientes y los aspectos culturales de la organización.
La información que se deja sobre los escritorios también está expuesta a
sufrir daños o destrozos en caso de producirse un desastre como
incendio, inundación o explosión.
Se deben aplicar los siguientes lineamientos:
a. Cuando corresponda, los documentos en papel y los medios
informáticos deben ser almacenados bajo llave en gabinetes y/u otro
tipo de mobiliario seguro cuando no están siendo utilizados,
especialmente fuera del horario de trabajo.
b. La información sensible o crítica de la ORGANIZACIÓN debe
guardarse bajo llave (preferentemente en una caja fuerte o gabinete a

prueba de incendios) cuando no está en uso, especialmente cuando
no hay personal en la oficina
c. Las computadoras personales, terminales e impresoras no deben
dejarse conectadas cuando están desatendidas y las mismas deben
ser protegidas mediante cerraduras de seguridad, contraseñas u otros
controles cuando no están en uso.
d. Se deben proteger los puntos de recepción y envío de correo y las
máquinas de fax y llamadas no atendidas.
e. Las fotocopiadoras deben estar bloqueadas (o protegidas de alguna
manera, del uso no autorizado) fuera del horario normal de trabajo,
f. La información sensible o confidencial, una vez impresa, debe ser
retirada de la impresora inmediatamente.
Retiro de bienes
El retiro de bienes de la ORGANIZACIÓN deberá ser cuidadosamente
monitoreado mediante el uso de formularios de entrada y salida debidamente
autorizados.
 El equipamiento, la información o el software no deben ser retirados
de la sede de la organización sin autorización.
 Cuando sea necesario y procedente, los equipos deberán ser
desconectados ("logged out") y nuevamente conectados ("logged in")
cuando se reingresen.
 Se deben llevar a cabo comprobaciones puntuales para detectar el
retiro no autorizado de activos de la organización.
 El personal debe conocer la posibilidad de realización de dichas
comprobaciones.
2. SISTEMAS DE INFORMACIÓN.
La ORGANIZACIÓN deberá tener una relación de los Sistemas de Información
con los que cuenta, tanto los realizados por el centro de cómputo como los
hechos por las áreas usuarias. Debiendo identificar toda información
sistematizada o no, que sea necesaria para la buena marcha Institucional.
a) La relación de Sistemas de Información deberá detallar los siguientes
datos:
 Nombre del Sistema.
 Lenguaje o Paquete con el que fue creado el Sistema. Programas que lo
conforman (tanto programas fuentes como programas objetos, rutinas,
macros, etc.).
 La Dirección (Gerencia, Departamento, etc.) que genera la información
base (el «dueño» del Sistema).
 Las unidades o departamentos (internos/externos) que usan la
información del sistema.
 El volumen de los archivos que trabaja el Sistema.

 El volumen de transacciones diarias, semanales y mensuales que
maneja el sistema.
 El equipamiento necesario para un manejo óptimo del Sistema.
 La(s) fecha(s) en las que la información es necesitada con carácter de
urgencia.
 El nivel de importancia estratégica que tiene la información de este
Sistema para la ORGANIZACIÓN (medido en horas o días que la
ORGANIZACIÓN puede funcionar adecuadamente, sin disponer de la
información del Sistema). Equipamiento mínimo necesario para que el
Sistema pueda seguir funcionando (considerar su utilización en tres
turnos de trabajo, para que el equipamiento sea el mínimo posible).
 Actividades a realizar para volver a contar con el Sistema de Información
(actividades de Restore).
 Con toda esta información se deberá de realizar una lista priorizada (un
ranking) de los Sistemas de Información necesarios para que la
ORGANIZACIÓN pueda recuperar su operatividad perdida en el
desastre (contingencia).
3. EQUIPOS DE CÓMPUTO.
Aparte de las Normas de Seguridad hay que tener en cuenta:
 Inventario actualizado de los equipos de manejo de información
(computadoras, lectoras de microfichas, impresoras), especificando
su contenido (software que usa, principales archivos que contiene),
su ubicación y nivel de uso Institucional.
 Utilización de candados y cerrojos de seguridad para evitar la
extracción de componentes internos de los equipos de cómputo
asignados al personal de la ORGANIZACIÓN.
 Pólizas de Seguros Comerciales. Como parte de la protección de los
Activos Institucionales, pero haciendo la salvedad en el contrato, que
en casos de siniestros, la restitución del Computador siniestrado se
podrá hacer por otro de mayor potencia (por actualización
tecnológica), siempre y cuando esté dentro de los montos
asegurados.
 Señalización o etiquetado de los Computadores de acuerdo a la
importancia de su contenido, para ser priorizados en caso de
evacuación. Por ejemplo etiquetar (colocar un sticker) de color rojo a
los Servidores, color amarillo a las PC's con Información importante o
estratégica y color verde a las PC's de contenidos normales.
 Tener siempre actualizada una relación de PC's requeridas como
mínimo para cada Sistema permanente de la ORGANIZACIÓN(que
por sus funciones constituyen el eje central de los Servicios
Informáticos de la ORGANIZACIÓN), las funciones que realizaría y
su posible uso en dos o tres turnos de trabajo, para cubrir las
funciones básicas y prioritarias de cada uno de estos Sistemas.

 Datos En Medios Magnéticos (Discos, Cintas, USB, Otros)
 Los discos removibles, USB, cintas u otro medio de
almacenamiento magnético deben estar claramente
identificados para indicar su contenido.
 Los medios de almacenamiento de respaldos de información
deben ser archivados en un lugar seguro que reúna las
condiciones especiales requeridos por estos dispositivos para su
conservación (niveles de temperatura y humedad relativa).
4. OBTENCIÓN Y ALMACENAMIENTO DE LOS RESPALDOS DE
INFORMACIÓN (BACKUPS).
Se deberá tener copias de Seguridad de todos los elementos de software
necesarios para asegurar la correcta ejecución de los Sistemas o aplicativos
de la ORGANIZACIÓN. Para lo cual se debe contar con:
 Backups del Sistema Operativo (en caso de tener varios
Sistemas Operativos o versiones, se contará con una copia de
cada uno de ellos).
 Backups del Software Base (Paquetes y/o Lenguajes de
Programación con los cuales han sido desarrollados o
interactúan nuestros Aplicativos Institucionales).
 Backups del Software Aplicativo (Considerando tanto los
programas fuentes, como los programas objetos
correspondientes, y cualquier otro software o procedimiento
que también trabaje con la data, para producir los resultados
con los cuales trabaja el usuario final). Se debe considerar
también las copias de los listados fuentes de los programas
definitivos, para casos de problemas.
 Backups de los Datos (Bases de Datos, Indices, tablas de
validación, passwords, y todo archivo necesario para la
correcta ejecución del Software Aplicativo de nuestra
ORGANIZACIÓN).
 Backups del Hardware. Se puede implementar bajo dos
modalidades:
Modalidad Externa. Mediante convenio con otra ORGANIZACIÓN
que tenga equipos similares o mayores y que brinden la seguridad de
poder procesar nuestra Información, y ser puestos a nuestra
disposición, al ocurrir una contingencia y mientras se busca una
solución definitiva al siniestro producido.
Este tipo de convenios debe tener tanto las consideraciones de
equipamiento como de ambientes y facilidades de trabajo que cada
ORGANIZACIÓN se compromete a brindar, y debe de ser
actualizado cada vez que se efectúen cambios importantes de
sistemas que afecten a cualquiera de las instituciones.
Modalidad Interna. Si tenemos más de un local, en ambos debemos
tener señalados los equipos, que por sus características técnicas y
capacidades, son susceptibles de ser usados como equipos de

emergencia del otro local, debiéndose poner por escrito (igual que en
el caso externo), todas las actividades a realizar y los compromisos
asumidos.
En ambos casos se deberá probar y asegurar que los procesos de
restauración de Información posibiliten el funcionamiento adecuado
de los Sistemas.
En algunos casos puede ser necesario volver a recompilar nuestro
software aplicativo bajo plataformas diferentes a la original, por lo que
es imprescindible contar con los programas fuentes, al mismo grado
de actualización que los programas objeto.
5. POLÍTICAS (NORMAS Y PROCEDIMIENTOS DE BACKUPS)
Se debe establecer los procedimientos, normas, y determinación de
responsabilidades en la obtención de los Backups mencionados anteriormente
en el punto, debiéndose incluir:
Periodicidad de cada Tipo de Backup.
 Se debe de contar con un sistema de respaldos, el cual sea capaz de
incluir las bitácoras de todos los archivos
 Todos los archivos de respaldo deben ser configurados para una prueba
de lectura de los datos almacenados.
 Los controles de acceso deben proteger los medios de almacenamiento
de respaldos para evitar su uso no autorizado
 Respaldo de Información de movimiento entre los períodos que no se
sacan Backups (backups incrementales).
 Uso obligatorio de un formulario estándar para el registro y control de los
Backups.
 Correspondencia entre la relación de Sistemas e Informaciones
necesarias para la buena marcha de la ORGANIZACIÓN, y los backups
efectuados.
 Almacenamiento de los Backups en condiciones ambientales óptimas,
dependiendo del medio magnético empleado.
 Reemplazo de los Backups, en forma periódica, antes que el medio
magnético de soporte se pueda deteriorar (reciclaje o refresco).
 Almacenamiento de los Backups en locales diferentes donde reside la
información primaria (evitando la pérdida si el desastre alcanzo todo el
edificio o local estudiado), preferiblemente en cajillas de seguridad
proporcionadas por instituciones bancarias.
 Pruebas periódicas de los Backups (Restore), verificando su
funcionalidad, a través de los sistemas, comparando contra resultados
anteriores confiables.
6. RESGUARDO DE INFORMACION
Derechos de acceso y privilegios
La información residente en computadoras que sea sensitiva, debe protegerse
de su uso no autorizado, modificación o borrado a través de la implementación
de controles de acceso y privilegios. Esto incluye:

 Deshabilitar los permisos de acceso de escritura/modificación o borrado
para todos los archivos ejecutables y binarios;
 El acceso a los archivos fuente de sistemas operativos, archivos de
configuración, y sus directorios a administradores autorizados; Los
utilitarios de acceso, estado o que revelen información de configuración
deben estar estrictamente controlados.
Datos En Medios Impresos
 Todo el personal debe identificar claramente todos los documentos
que se reconocen como de carácter sensitivo, crítico, confidencial
o privado en la organización.
 Los documentos con información sensitiva, crítica, confidencial o privada
no deben ser expuestos a la vista de personas no autorizadas.
 Colocar passwords de acceso a los documentos con información
sensitiva, crítica, confidencial o privada.
 Los documentos con información sensitiva, crítica, confidencial o privada
deben ser guardados en archivos con llave cuando sus usuarios
abandonan el área de trabajo.
 Todo el personal de organización debe tener el máximo cuidado de
proteger los documentos confidenciales al trasladarlos entre áreas de
trabajo en la ORGANIZACIÓN.
Datos En Tránsito
 Los datos no públicos que salen de la organización deben ser
debidamente encriptados para su traslado seguro.
 Todas las comunicaciones (por ejemplo, mensajes de correo electrónico)
del personal de la ORGANIZACIÓN deben de contar con un sistema de
firmas digitales.
Destrucción De Datos
 La información sensitiva, crítica, confidencial o privada en papel debe
ser triturada antes de tirarla a la basura.
 Si es posible, cuando se borran archivos con información sensitiva,
crítica, confidencial o privada en discos, debe utilizarse software
especializado para asegurarse que los datos fueron totalmente
eliminados.
7. USO ACEPTABLE DE EQUIPOS INFORMÁTICOS
El uso del equipo de cómputo será destinado únicamente para apoyar las
funciones que son propias de la ORGANIZACIÓN; así mismo el responsable
del equipo tendrá el resguardo de todo el equipo y programas de cómputo
autorizados, quien firmará el resguardo respectivo ante la unidad responsable
de este control, para el movimiento de equipos no se podrá realizar sin la
aprobación de la dependencia que administre los bienes.
Es responsabilidad de cada una de las Direcciones requerir el suministro del
material necesario para el funcionamiento del equipo de cómputo. Esto
comprende consumibles tales como Cd-rom's, discos, papel o toner.

Equipo de cómputo
 Deberá ser encendido bajo el siguiente orden: regulador, monitor, CPU,
equipo periférico e impresora; y debe apagarse en orden inverso.
 Debe estar conectado deseablemente a un regulador o sistema de
energía ininterrumpible.
 No se debe comer ni beber cerca del equipo de cómputo, para evitar que
la comida y bebida sean derramados sobre el equipo y perjudiquen su
funcionamiento.
 Cerca de los equipos de cómputo no deben haber cigarrillos encendidos
o materiales que puedan causar daños en su normal funcionamiento.
 No se debe cortar papel o engrapar encima del equipo de cómputo ya
que los residuos pueden afectar su buen funcionamiento.
 Si no se utiliza durante un periodo prolongado (horas de comida,
noches, etc.) deberá estar completamente apagado.
 Debe dejar completamente apagado su equipo de cómputo antes de
retirarse de su lugar de trabajo.
 No debe insertar objetos en las ranuras del equipo de cómputo.
 El ratón debe ser deslizado sobre una superficie adecuada (pad)
UPS (fuente de energía ininterrumpible)
 No se debe de colocar los pies ni objetos pesados encima del UPS.
 No se debe de conectar cualquier otro dispositivo más que el CPU y el
monitor.
 No se debe de conectar más de un computador por cada UPS.
 Si su UPS emite algún sonido extraño, revise que se encuentre bien
conectado y recibiendo corriente eléctrica
 No se debe de insertar objetos en las ranuras de los UPS
Impresora
 En ningún momento debe de conectarse la impresora al UPS.
 Si la impresora no funciona adecuadamente, revise que se encuentre
bien conectada. En el caso que continúe su mal funcionamiento no lo
destape, repórtelo al personal de informática.
 No debe colocar papel con grapas o clips cerca o dentro de este equipo.
 No debe insertar objetos en las ranuras de las impresoras.
Entorno de Red
 No debe conectar equipo que no pertenece a la organizacióna un punto
de red sin previa autorización.
 No debe de colocar los pies o pararse sobre la caja de red.
 En el caso de que su estación de trabajo no tenga señal de red, revise
que el cable de red se encuentre bien conectado. En el caso que
continúe su mal funcionamiento repórtelo.
 No debe de insertar objetos en las ranuras de los puertos de red.
Formación de Equipos Operativos

En cada unidad operativa de la ORGANIZACIÓN, que almacene información y
sirva para la operatividad Institucional, se deberá designar un responsable de la
seguridad de la Información de su unidad. Pudiendo ser el jefe de dicha Área
Operativa.
Sus labores serán:
 Ponerse en contacto con los propietarios de las aplicaciones y trabajar
con ellos.
 Proporcionar soporte técnico para las copias de respaldo de las
aplicaciones.
 Planificar y establecer los requerimientos de los sistemas operativos en
cuanto a archivos, bibliotecas, utilitarios, etc., para los principales
sistemas y subsistemas.
 Supervisar procedimientos de respaldo y restauración.
 Supervisar la carga de archivos de datos de las aplicaciones, y la
creación de los respaldos incrementales.
 Coordinar líneas, terminales, modem, otros aditamentos para
comunicaciones.
 Establecer procedimientos de seguridad en los sitios de recuperación.
 Organizar la prueba de hardware y software.
 Ejecutar trabajos de recuperación.
 Cargar y probar archivos del sistema operativo y otros sistemas
almacenados en el local alternante.
 Realizar procedimientos de control de inventario y seguridad del
almacenamiento en el local alternante.
 Establecer y llevar a cabo procedimientos para restaurar el lugar de
recuperación.
 Participar en las pruebas y simulacros de desastres.
8. Resguardo físico del Centro de Cómputo
El acceso de personas ajenas a la ORGANIZACIÓNdebe ser limitado para
personas ajenas a la misma, por lo cual es necesario establecer regulaciones
cuando se requiera que cualquier persona permanezca por mayor tiempo
dentro de las instalaciones de la ORGANIZACIÓN.
 Los visitantes deberán portar gafete de identificación previsto por el área
administrativa de la ORGANIZACIÓNque los identifique a que área o
áreas podrán tener acceso
 El área de servidores y nodos de telecomunicación deberá contar con
compuerta y llave restringiéndose el acceso a esta área únicamente a
personal autorizado
 Resguardar el équipo de cómputo personal mediante el uso de
candados o “restrainers”
 Se debe contar con un gabinete donde se ubiquen las llaves físicas de
los diferentes equipos de cómputo

Formación de Equipos de Evaluación
(Auditoría de cumplimiento de los procedimientos sobre Seguridad)
Esta función debe ser realizada de preferencia por personal de Inspectoría, de
no ser posible, la realizará el personal del área de Informática, debiendo
establecerse claramente sus funciones, responsabilidades y objetivos :
 Revisar que las Normas y procedimientos con respecto a Backups y
seguridad de equipos y data se cumpla.
 Supervisar la realización periódica de los backups, por parte de los
equipos operativos, comprobando físicamente su realización, adecuado
registro y almacenamiento.
 Revisar la correlación entre la relación de Sistemas e Informaciones
necesarios para la buena marcha de la ORGANIZACIÓN(detallados en
«a»), y los backups realizados.
 Informar de los cumplimientos e incumplimientos de las Normas, para
las acciones de corrección respectivas.
El departamento de Informática proporcionará asesoría y asistencia técnica
oportuna a las áreas en instalación, configuración y uso del equipo en general.
Las necesidades particulares a cada área en el uso de software y hardware
tendrán que ser cubiertas por personal técnico capacitado.
Solo personal técnico autorizado por el responsable del área de Soporte
Técnico puede revisar, configurar y dar soporte a los bienes informáticos.
En los tomacorrientes donde se alimenten los equipos de cómputo, no se
deben conectar otros equipos que interfieran con el consumo de energía como
aparatos eléctricos y/o electrónicos: radios, refrigeradores, televisores,
cafeteras.
Aprovechamiento
Promover el uso eficiente de los recursos de cómputo a fin de mejorar el
desempeño de las aplicaciones.
Modernizar y actualizar la infraestructura del equipo de cómputo.
 Modernizar y actualizar los servicios masivos de impresión y
almacenamiento de información.
 Rotación de equipos en la adquisición de equipos nuevos y dar de baja
los equipos obsoletos.
Seguridad
 El usuario deberá cambiar periódicamente su clave de acceso de
acuerdo al grado de seguridad que se requiera.

 Todos los módulos de las aplicaciones que ingresen datos deberán tener
una clave de acceso.
 Las palabras claves no deben aparecer en la pantalla al ser ingresadas,
tampoco deben imprimirse o mantenerse en la máquina, y mucho menos
en un medio que se encuentre en lugar visible.
 El administrador de la red o el responsable de los equipos de cómputo
cambiarán inmediatamente la clave de acceso a los empleados o
contratistas que tengan ausencias definitivas de sus cargos o
terminación de sus contratos.
 Equipos susceptibles de infectarse con virus deberán estar dotados con
antivirus permanentemente actualizados.

Requerimientos de Infraestructura
Políticas respecto a la infraestructura
Consideraciones Generales en el Diseño de Centro de Datos, C.P.D.
Un Centro de Proceso de Datos (CPD) es el conjunto de recursos físicos,
lógicos, y humanos necesarios para la organización, realización y control de las
actividades informáticas de una ORGANIZACIÓN.
A la hora de realizar el diseño de un Centro de Proceso de Datos, la idea inicial
que se contempla es la del diseño de una sala de comunicaciones de grandes
dimensiones donde se van a ubicar potentes servidores y equipo de
telecomunicaciones.
Esto pone de manifiesto uno de los primeros condicionantes del diseño de
CPD's, el carácter "crítico" de los datos que se manejan, puesto que la mayoría
de las instituciones dependen de la disponibilidad, seguridad y redundancia de
la información que se almacena en sus servidores.
La no disponibilidad de esta información supone elevados costes para
cualquier compañía, especialmente en las que brindan un servicio
ininterrumpido durante las 24 horas durante los 365 días del año.
Son varios los requisitos que debe cumplir un CPD:
1. Tipo de instalación.
Instalaciones de alto riesgo: tienen las siguientes características:
 Datos o programas que contienen información confidencial de interés
nacional o que poseen un valor competitivo alto en el mercado.
 Pérdida potencial considerable para la ORGANIZACIÓN y, en
consecuencia, una amenaza potencial alta para su subsistencia.
Todas las instalaciones de riesgo alto presentan una o más de esas
características. Por ello, resultará generalmente fácil identificarlas. En cualquier
caso, es evidente que, en el caso que nos ocupa, un CPD será considerado sin
lugar a dudas como instalación de alto riesgo.
2. Disponibilidad y monitorización “24x 7x 365”.
Un centro de datos diseñado apropiadamente proporcionará disponibilidad,
accesibilidad y confianza 24 horas al día, 7 días a la semana, 365 días al año.
3. Fiabilidad Infalible

(5 ‘nueves’), es decir, con un 99,999% de disponibilidad, lo que traduce en una
única hora de no disponibilidad al año. Los centros de datos deben tener redes
y equipos altamente robustos y comprobados.
4. Seguridad, Redundancia y Diversificación.
Almacenaje exterior de datos, tomas de alimentación eléctrica totalmente
independientes y de servicios de telecomunicaciones para la misma
configuración, equilibrio de cargas, SAIs o Sistemas de Alimentación
Ininterrumpida, control de acceso, etc.
5. Control ambiental / Prevención de Incendios.
El control del ambiente trata de la calidad del aire, temperatura, humedad
inundación, electricidad, control de fuego, y por supuesto, acceso físico.
6. Acceso Internet y conectividad WAN.
Los centros de datos deben ser capaces de hacer frente a las mejoras y
avances en los equipos, estándares y anchos de banda requeridos, pero sin
dejar de ser manejables y fiables. Las comunicaciones dentro y fuera del centro
de datos se proveen por enlaces WAN, CAN/MAN y LAN en una variedad de
configuraciones dependiendo de las necesidades particulares de cada centro.
7. Rápido despliegue y reconfiguración.
Otros aspectos tratan de las previsiones para hacer frente a situaciones,
críticas, con el objetivo de superarlas y volver rápidamente a la normalidad en
caso de catástrofe.
8. Gestión continúa del Negocio.
El funcionamiento de muchas compañías que constantemente realizan miles de
transacciones por minuto gira entorno a la información almacenada. Para
garantizar la fiabilidad existen los sistemas inteligentes de control de
asignaciones y monitorización.
9. Cableado Flexible, Robusto y de Altas Prestaciones.
La infraestructura física de los centros debe soportar sistemas de comunicación
de alta velocidad y altas prestaciones capaces de atender al tráfico de SANs
(Storage Area Networks), NAS(Network Attached Storage), granjas de
servidores de archivos/aplicación/web, servidores blade y otros dispositivos de
almacenaje (Fibre channel, SCSI o NAS) así como Sistemas de Automatización
del Edificio, sistemas de voz, video y CCTV.
10. Ubicación del Centro de Proceso de Datos,C.P.D.
Generalmente, la instalación física de un Centro de Proceso de Datos exige
tener en cuenta el Local físico; Espacio disponible, acceso de equipos y

personal, instalaciones de suministro eléctrico, acondicionamiento térmico y
elementos de seguridad disponibles.
11. Espacio y movilidad.
Altura y anchura del local, posición de las columnas, posibilidades de movilidad
de los equipos, suelo móvil o suelo técnico, etc. Iluminación.
12. Tratamiento acústico.
Los equipos ruidosos como las impresoras con impacto, equipos de aire
acondicionado o equipos sujetos a una gran vibración, deben estar en zonas
donde tanto el ruido como la vibración se encuentren amortiguados.
13. Seguridad física del local.
Equipo contra incendios, contra inundaciones y otros peligros físicos que
puedan afectar a la instalación.
14. Suministro eléctrico.
El suministro eléctrico a un CPD, y en particular la alimentación de los equipos,
debe hacerse con unas condiciones especiales, como la utilización de una
línea independiente del resto de la instalación para evitar interferencias, con
elementos de protección y seguridad específicos y siempre con sistemas de
alimentación ininterrumpida SAI’s (equipos electrógenos, instalación de
baterías, etc.).
15. Factores inherentes a la localización.
Son aquellas condiciones del medio ambiente externo que rodean al local. Se
dividen en:
 Naturales. Se está expuesto a múltiples peligros cuya ocurrencia está
fuera del control del hombre, como es el caso del frío, el calor, las
lluvias, los terremotos y el peligro del terreno (como el hundimiento del
piso).
 Servicios. Líneas telefónicas, energía eléctrica, drenaje, facilidades de
comunicación, antenas de comunicación y líneas para enlace
radioeléctricas.
 Seguridad. Se basa en que la zona sea tranquila, que no esté expuesta
a riesgos de alto grado, que no sea un lugar desolado o desprotegido.
También se debe prever que alrededor del edificio no existan fuentes
que propicien incendios fácilmente. Se debe considerar también el
peligro de inundación. Entre otros factores tenemos el vandalismo, el
sabotaje y el terrorismo.
El CPD no debería estar contiguo a maquinaría pesada o almacenes con gas
inflamable o nocivo. El espacio deberá estar protegido ante entornos

peligrosos, especialmente inundaciones. Algunas ubicaciones presentan
amenazas específicas:
 Ubicaciones cercanas a paredes exteriores, planta baja o salas de
espera: pueden presentar problemas de vandalismo o sabotaje
 Sótanos: problemas de inundaciones debido a cañerías principales,
sumideros o depósitos de agua.
 Última Planta: desastres aéreos, fuego
 Encima de estacionamientos: fuego
El CPD deberá tener espacio suficiente para alojar todos los equipos de
comunicaciones necesarios y espacio extra para poder realizar la mayoría de
las ampliaciones sin interrumpir el funcionamiento normal. Debe evitarse la
instalación de un CPD en áreas con fuentes de interferencia de
radiofrecuencia, tales como transmisores de radio y estaciones de TV.
Características del Centro de Procesamiento de Datos, C.P.D.
Ante los factores que afectan a la seguridad física de un C.P.D., que a
continuación detallamos, debemos de tener en cuenta una serie de
características para el acondicionamiento de éste.
Factores ambientales
- Incendios.
- Inundaciones.
- Terremotos.
- Humedad.
Factores humanos
- Robos
- Actos vandálicos
- Actos vandálicos contra el sistema de red
- Fraude
- Sabotaje
- Terrorismo
Actualmente los CPDs se han empezado a convertir en un conjunto de
espacios con funciones y necesidades distintos:
• Núcleo de Procesamiento Principal
• Equipos de conmutación de Red
• Área de Impresión
• Área de Cintas/CD de back-up
• Área de Operadoras o exterior
• Área de Servidores
• Área de Aplicaciones
La separación en varias áreas presenta beneficios en términos de control de
acceso, reducción del riesgo de fuego y control ambiental. Aunque los riesgos
deberían ser mínimos, las consecuencias de un desastre aquí pueden ser tan

graves que merece la pena considerar otra línea de defensa — como dividir la
sala principal en dos o más cuartos separados.
Si los cuartos se dividen con eficacia, es muy poco probable que se produzca
un desastre que afecte a varios de los espacios. Para asegurar este punto, no
debe haber ruta alguna entre los cuartos que permitan la propagación del
fuego, del humo, del agua, de gases o de explosiones (las posibles rutas de
cable deben ser selladas con material cortafuegos masillas, calafateados o
espumas de silicona).
Los cuartos también necesitarán alimentación, HVAC (sistemas de calefacción,
ventilación y aire acondicionado), protección contra incendios, seguridad y
rutas de acceso independientes.
Aunque los CPDs se sitúan normalmente en los sótanos, éste no es el único
sitio ni de hecho es la mejor ubicación. Aunque el área del sótano no es
normalmente el espacio más conveniente para oficinas y por lo tanto se usa
más para servicios, hay que considerar el riesgo de inundaciones y de la
posible capacidad de recuperación ante un desastre.
En muchos de los edificios de oficinas, el CPD es el mayor consumidor de
alimentación y fuente de calor, por lo cual la provisión de sistemas de respaldo
como grupos electrógenos, sistemas de alimentación ininterrumpida, SAIs o
UPS, tiene gran importancia.
Los CPDs requieren un ambiente controlado en relación a la temperatura, la
humedad y el polvo. La gran concentración de equipos de IT demanda
sistemas de HVAC, para eliminar el exceso de calor y evitar niveles extremos
de baja humedad, que provocan acumulación de estática; también sirven para
limitar la presencia partículas aéreas.
Los niveles recomendados de temperatura y humedad son de 21 ° C y 50 % de
humedad respectivamente y 95 % de eficiencia de filtrado de 5 micras con aire
recirculado de tipo no evaporativo.
16. Acondicionamiento de Salas
Cerramiento perimetral, dotación de suelo técnico sobreelevado de calidad sala
informática, falso techo de placas de fibra de vidrio.
Los Centros de Proceso y locales técnicos en general, deben diseñarse en un
área específicamente concebida para ese uso, que cuente con las máximas
medidas de seguridad, garantizando su funcionamiento, dentro de las normas
que este tipo de locales exige.
17. Climatización
Equipos de climatización específicos para salas informáticas, control
microprocesado de temperatura y humedad.
Para poder mantener el nivel de temperatura adecuado de los locales técnicos,
así como el grado de humedad dentro de los límites medios de temperatura y

humedad, se proponen dotaciones de equipos de climatización específicos
para salas informáticas, del tipo servicio total, controlado por microprocesador y
capaz de producir frío, calor y humectar o deshumectar de forma automática,
dentro de unos márgenes de ± 1º C y ± 2% HR para valores de funcionamiento
previstos de 21ºC y 60% HR.
Las unidades de climatización se calculan para un funcionamiento continuo 24
h/días y 365 días/año
18. Instalación Eléctrica
Del buen funcionamiento del suministro de energía, dependen todos los
servicios de proceso y comunicaciones de la ORGANIZACIÓN, la instalación
debemos dotarla de un cuadro específico para los Servicios de Información,
comprobando la calidad de la tierra, y dimensionándolo para futuros
crecimientos.
Las líneas desde el cuadro de distribución deben realizarse por canalizaciones
de cable (normalmente bajo falso suelo), recomendando la utilización de una
línea para cada equipo o grupo homogéneo de equipos.
Para eventuales cortes en el suministro, se recomienda la instalación de un
equipo SAI y en determinadas ocasiones el respaldo de un grupo electrógeno
de continuidad.
19. Iluminación
La iluminación no debe alimentarse de la misma acometida que los equipos
instalados en el CPD.
Climatización
Se debe proveer un sistema de calefacción, ventilación y aire acondicionado
separado que se dedique al CPD de forma exclusiva.
Para el mejor funcionamiento de los equipos ubicados en el CPD se
recomienda que los valores de temperatura y humedad, en condiciones
normales de trabajo, estén lo más próximos posible a los siguientes:
Temperatura: 22 grados centígrados (+/- 2 grados centígrados)
- Humedad relativa: 45 a 55%
20. Precauciones Antiincendio
El CPD necesita un sistema propio de detección del fuego y de extinción. No se
debe a que el CPD suponga en sí mismo una posible fuente de incendios, sino
más bien al valor de la información almacenada y al considerable daño que
supondría para el negocio una pérdida de la misma.
Los fuegos raramente comienzan en el CPD. Los CPDs resultan dañados más
a menudo por los fuegos (o por el humo y gases) que comienzan en otras
partes y se extienden a la sala de procesamiento de datos.
Los equipos pueden resultar seriamente dañados, por el humo y gases
corrosivos (como el Cloruro de Hidrógeno producido en la combustión de los
cables, salvo que se elija adecuadamente el cable). Estos equipos pueden
también verse dañados por los materiales utilizados para la extinción del fuego
incluyendo flurocarbono, agua y dióxido de carbono.

En muchos casos, el daño debido a los elementos de extinción del fuego es
superior al producido por el fuego propiamente.
Los principios apropiados para la protección contra incendios son: reducir la
probabilidad de que un fuego comience, reducir la probabilidad de que un fuego
se disperse y reducir el daño mínimo que un fuego puede causar.
Deberá existir un dispositivo que se active cuando la temperatura y humedad
registradas en la sala del CPD están fuera de los umbrales señalados.
21. Sistema de Cableado
Un Sistema de Cableado Estructurado (SCE) se define en el entorno de un
CPD como el conjunto de elementos, incluyendo paneles de terminación,
módulos, conectores, cable, y latiguillos, instalados y configurados para
proporcionar conectividad principalmente de datos desde los repartidores
designados hasta las rosetas o puntos de planta que dan servicio al
equipamiento ubicado en el CPD (Host, dispositivos de almacenamiento, etc).
La solución de cableado deberá considerarse, en cuanto a prestaciones, como
un sistema en su conjunto, en lugar de considerar individualmente las
prestaciones de cada uno de sus componentes. Este es un método de medida
más útil al tener en cuenta la combinación de los componentes requeridos para
llevar la señal desde la roseta o punto en planta hasta el armario de
interconexión, de esta manera se garantiza la calidad de la señal total.
En CPDs donde la movilidad sea considerablemente alta y la necesidad del
control de las asignaciones sea vital para obtener la máxima explotación del
CPD, la Solución es la monitorización en tiempo real de la infraestructura
22. Control de Inundaciones
Deben de existir detectores de inundación con alarmas en varios sitios
instaladas en sitios visibles del edificio, ya que la falta de estos detectores
supone la existencia de un riesgo muy elevado de pérdida de equipos en caso
de producirse una inundación.
No siempre es posible evitar conducciones de agua dentro de las salas
destinadas a ordenadores o centros técnicos o de telecomunicaciones, incluso
la instalación de los sistemas específicos de estos locales, implican tener
conductos de agua en su interior.
Las fugas de fluidos, si no se descubren a tiempo, pueden causar daños en los
equipos o pérdidas de información.
23. Control de Acceso
Los locales que albergan los Activos Tecnológicos de los Sistemas de
Información, requieren altas medidas de seguridad, que eviten acciones,
malintencionadas o no, que puedan poner en peligro el “corazón” de la
ORGANIZACIÓN.
Los sistemas antiintrusión mediante censores de presencia, alarmas por rotura
de vidrio, alarmas de puerta abierta y el control del local a través de elementos
de monitorización de los accesos y equipos sensibles, son una infraestructura
básica en el diseño de la seguridad física de este tipo de centros.

SANCIONES
Generalidades:
Las disposiciones contenidas en esta sección tienen por objeto establecer de
manera clara y precisa, la forma y procedimientos en la imposición de medidas
disciplinarias en el centro o lugar de trabajo.
Se considera que todo usuario de un recurso de la organización, el cual puede
ser informático o no informático, estará sujeto a la observancia y cumplimiento
de las siguientes sanciones; siendo todos responsables de cumplir y hacerlas
cumplir.
Factores a considerar en la imposición de sanciones:
Con el objeto de mantener el orden y la disciplina, los empleados podrán
imponer a los empleados que incurran en falta laboral, las sanciones previstas
en este documento, en proporción a las circunstancias agravantes o
atenuantes del caso y atendiendo a su importancia y trascendencia.
Las sanciones que a continuación se presentarán, no están orientadas a
burocratizar u obstruir la libre realización de las actividades de cada usuario y
de la Organizaciónen general, si no buscan establecer la disciplina y el control
necesario para el óptimo aprovechamiento de los recursos para el beneficio,
productividad, eficiencia del que hacer diario en la Organización, las cuales
pueden incluir pero no limitar a la aplicación de acciones disciplinarias de orden
laboral, civil y penal
Las sanciones obligarán al trabajador a observar y cumplir las políticas
reglamentarias en materia de seguridad administrativa para lo cual se darán a
conocer a todo el personal.
Cuando los empleados incumplan cualquier obligación o incurran en alguna de
las prohibiciones que establecen las normativas y procedimientos
institucionales serán sancionados con: amonestación verbal, amonestación
escrita, suspensión temporal sin goce de sueldo o remoción justificada.
Autoridad a quién corresponde imponer las sanciones:
El régimen disciplinario se hará efectivo de la siguiente manera:
a) Las sanciones disciplinarias que corresponda imponer a un trabajador
que incurre en falta laboral, consistentes a su amonestación verbal y
amonestación escrita, serán aplicados por el jefe que sea su superior
jerárquico inmediato.
b) Las sanciones disciplinarias consistentes en suspensión temporal de
labores sin goce de sueldo, serán aplicadas al personal que les reporte,
por los jefes inmediatos superiores.
c) La sanción disciplinaria consistente en despido justificado, será aplicada
únicamente por el Gerente General.

Se proponen las siguientes sanciones para quienes incumplan con la
normativa:
Para la aplicación de las sanciones aquí indicadas las faltas se clasificarán en
leves, graves y muy graves, consideradas en función de su:
 Importancia y trascendencia.
 Responsabilidad.
 Grado de culpabilidad.
 Categoría profesional del trabajador infractor.
 Circunstancias que en el caso concurran.
SANCIONES APLICABLES SEGÚN EL TIPO DE FALTA:
Faltas Leves:
Amonestación verbal. Para el efecto se considerarán faltas leves las siguientes:
Definir cuales considerarían como leves…. A partir de este documento
Faltas Graves:
Amonestación por escrito o suspensión de labores hasta por 15 días sin goce
de sueldo, según considere su jefe inmediato. Para el efecto se considerarán
faltas graves las siguientes:
Definir cuales considerarían como graves…. A partir de este documento
Faltas Graves reincidentes o agraviadas:
Suspensión de labores sin goce de sueldo hasta un mes o despido sin derecho
a prestaciones según lo considere su jefe inmediato. Para el efecto se
considerarán faltas muy graves las siguientes:
Definir cuales considerarían como graves reincidentes o agraviadas…. A partir
de este documento
NOTA: Varias amonestaciones leves se pueden considerar una falta grave, y la
acumulación de faltas graves, se considerará falta grave reincidente o
agraviada.
Las presentes sanciones se comenzarán aplicar después de haber sido
discutidas y aprobadas por la junta directiva, y a los dos días siguientes de su
aprobación y divulgación.

Se determinarán causales de despido justificado, sin responsabilidad por parte
de la ORGANIZACIÓN, y sin perjuicio de las responsabilidades civiles y
penales respectivas en su caso, la comisión de una falta grave y violación a
cualquiera de las prohibiciones expresas en los reglamentos de la
ORGANIZACIÓN, con dolo y daño a los recursos institucionales.

PROGRAMA DE SENSIBILIZACIÓN
El programa de sensibilización respeto a la importancia de la información, debe
contener cuando menos los siguientes aspectos:
1. Crear un ambiente positivo de control de la información
2. Definición y divulgación de la Misión y Visión de la ORGANIZACIÓN
3. Definición de la responsabilidad de la Gerencia en cuanto a políticas
definidas
4. Comunicación de las Políticas de la Organización a todos los miembros
de la misma
5. Destinar los recursos necesarios para la Implementación de Políticas
6. Mantenimiento periódico de Políticas
7. Velar por el cumplimiento de Políticas, Procedimientos y Estándares
8. Crear un compromiso con la calidad y seguridad de la información
9. Crear una política sobre el Marco Referencial para la Seguridad y el
Control Interno encaminado a proteger la información sensible
10.Identificar los derechos de la Propiedad Intelectual que sean aplicables
11.Políticas para situaciones específicas, como trato de información de
Tribunales, Junta Directiva, etc.
12.Comunicación de la sensibilización de seguridad de la Intimación y de la
Tecnología utilizada
Las políticas y procedimientos de la organizacióncrean un marco referencial y
un programa de conocimiento y conciencia, prestando atención específica a la
tecnología de información y a su seguridad, propiciando un ambiente de control
positivo y considerando aspectos como:
 Integridad
 Valores éticos
 Código de conducta
 Seguridad y control interno
 Competencia del personal
 Filosofía y estilo operativo de la administración
 Responsabilidad, atención y dirección proporcionadas por el consejo
directivo o su equivalente
La alta gerencia promueve un ambiente de control positivo a través del
ejemplo.
La administración debe aceptar la responsabilidad total sobre la formulación, el
desarrollo, la documentación, la promulgación, el control y la revisión regular de
las políticas que rigen las metas y directivas generales.
Debe existir un programa de conocimiento y conciencia formal para
proporcionar comunicación y entrenamiento relacionados con el ambiente
positivo de control de la administración y sobretodo de la información que
maneja.

La existencia de políticas y procedimientos organizacionales para asegurar que
los recursos adecuados y apropiados son asignados para implementar las
políticas de la organizaciónde manera oportuna.
Definir los procedimientos apropiados para asegurar que el personal
comprende las políticas y procedimientos implementados, y que se cumple con
dichas políticas y procedimientos; y con muy especial atención a la seguridad
de la información.
Las políticas y procedimientos de la función de servicios de información
definen, documentan y mantienen una filosofía, políticas y objetivos formales
que rigen la calidad de los sistemas y servicios producidos, y que éstos son
consistentes con la filosofía, políticas y objetivos de la organización.
La administración de la función de servicios de información asegura que la
calidad de la filosofía, las políticas y objetivos sea comprendida, implementada
y mantenida a todos los niveles de la función de servicios de información.
La existencia de procedimientos que consideren la necesidad de revisar y
aprobar periódicamente estándares, directivas, políticas y procedimientos clave
relacionados con tecnología de información.
La Presidencia debe aceptar la responsabilidad total sobre el desarrollo de un
marco referencial para el enfoque general de seguridad y control interno.El
documento del marco referencial de seguridad y control interno especifica la
política, propósito, objetivos, estructura administrativa, alcance dentro de la
organización, asignación de responsabilidades y definición de sanciones y
acciones disciplinarias de seguridad y control interno asociados con la falta de
cumplimiento de las políticas de seguridad y control interno.
Y por último deben existir políticas para asuntos especiales para documentar
las decisiones administrativas sobre actividades, aplicaciones, sistemas,
tecnologías particulares pero sobre todo a la clasificación sensitiva de la
información que se produce de las operaciones de Villa las Mercedes.

Metodología para efectuar el programa de sensibilización:
El programa de sensibilización puede comunicarse y ser desarrollado por
medio de las siguientes actividades:
 Colocación de afiches (Misión, Visión y Objetivos Organizacionales)
 Reuniones Gerenciales
 Colocación de políticas, objetivos, misión y visión en un sitio en la
Intranet
 Capacitación y especialización en los procesos críticos y manejo de su
información
 Reuniones de concientización de valores éticos y morales de los
participantes en la organización
 Actividades de integración a nivel organizacional
 Reuniones de sensibilización personal y organizacional
 Incentivos económicos por alcanzar metas definidas
 Elaboración de Clima Organizacional al menos cada dos años, y
enmendar los aspectos contrarios a los objetivos de la organización.

POLITICAS INFORMATICAS.pdf

Recomendados

Recomendados

Más contenido relacionado

Similar a POLITICAS INFORMATICAS.pdf

Similar a POLITICAS INFORMATICAS.pdf (20)

POLITICAS INFORMATICAS.pdf