Unidad de Servicios Compartidos rea de Tecnologa de Informacin Seguridad en Tecnologa de Informacin

DOCUMENTO INFORMATIVO DE LINEAMIENTOS EN TECNOLOGA DE INFORMACIN

Guatemala, marzo 2006

Versin 1.01 // Guatemala, octubre de 2006 Fuente: Documento de Polticas (rev. 2006)

INDICE

1.

POLITICAS DE UTILIZACION DEL EQUIPO DE CMPUTO......................... 4 Nombre de los Usuarios ....................................................................................... 4 3. POLITICAS DE CONTRASEAS....................................................................... 5 4. POLITICA DE UTILIZACION DE CORREO ELECTRONICO .......................... 6 Correo Interno...................................................................................................... 6 5. POLITICAS DE USO DE INTERNET ................................................................. 7 6. POLITICAS DE MANEJO DE INFORMACION ................................................. 9 Poltica de Sensitividad de Datos.......................................................................... 9 Poltica para cuidar de robo la informacin en su equipo ...................................... 9 7. POLTICAS DE RECURSOS HUMANOS ........................................................ 10 Poltica de continuidad del empleo ..................................................................... 10 Poltica de contratacin de empleados ................................................................ 10 8. ACCESO A LAS FACILIDADES ...................................................................... 11 9. POLTICA OPERACIONAL.............................................................................. 11 Poltica para proteccin de pantallas................................................................... 11 Polticas de Antivirus ......................................................................................... 11 Poltica para servidores Web .............................................................................. 11 Polticas para acceso remoto............................................................................... 12 10. USO Y CONEXIN DE EQUIPO PROPIO EN LA RED .................................. 12

Anexos Glosario Compendio Cuadro de Sanciones

INTRODUCCION
Es importante que todos los colaboradores de las empresas, conozcan todos los aspectos relacionados con el uso adecuado de los recursos tecnolgicos que estn a su disposicin. Los temas en este documento estn relacionados con la utilizacin del equipo de cmputo, creacin de cuentas de usuario, manejo de contraseas, utilizacin de correo electrnico, uso de Internet y manejo de informacin confidencial. La violacin a las polticas, ser sancionada drsticamente por el Departamento de Recursos Humanos, de acuerdo a las polticas laborales vigentes e inclusive puede ser causa de terminacin de la relacin laboral.

Si desea conocer ms detalles sobre las polticas puede visitar la siguiente direccin electrnica:
http://gallo/corpora/apoyo/finanzas/Manuales/manuales/Policas%20de%20Informatica/Personal _Nuevo_Ingreso/Manual%20de%20Politicas%20Personal%20de%20Nuevo%20Ingreso.PDF

Sitio de Seguridad
http://gallo/corpora/apoyo/Comites/Comite%20de%20Informatica/proyectos %informatica/ci/seguridad/Marco%20Seguridad.htm

POLTICAS DE TECNOLOGIA DE INFORMACIN PARA EL PERSONAL

1. POLITICAS DE UTILIZACION DEL EQUIPO DE CMPUTO Es responsabilidad del usuario velar por la correcta utilizacin y seguridad del equipo de computacin asignado a su persona. Solamente se deber configurar en los equipos personales el hardware y software autorizado. Se considerar como violacin a los procedimientos de seguridad: alterar, desactivar o modificar componentes como memoria, procesador, dispositivos y puertos de entrada y salida, por parte de personal no autorizado o personas ajenas al departamento de soporte. Los usuarios no deben intercambiar los componentes de una estacin de trabajo a otra sin la autorizacin del departamento de Soporte Tcnico y debe mantenerse un registro de las modificaciones y cambios que se realicen. Los programas adicionales utilizados por el usuario, hojas de trabajo, documentos y cualquier otro material que se utilice para tomar decisiones de negocios son considerados bajo las mismas normas que el software de la empresa sin importar su origen. Este debe ser informado al Departamento de Tecnologa de Informacin y deben ser considerados como propiedad de la empresa. De igual manera debe someterse al procedimiento establecido para backup de informacin. La procedencia y mecanismos de uso y generacin de estas hojas y documentos deben estar debidamente documentada. 2. POLITICA DE CREACION DE CUENTAS DE USUARIO Creacin de Cuentas Un gerente o jefe de departamento podr solicitar la creacin de una nueva cuenta de usuario que pertenezca a su rea o departamento. La solicitud debe enviarse a travs del procedimiento de Sopote Tcnico. Nombre de los Usuarios Se debe utilizar el primer nombre y el primer apellido del usuario para formar el mismo. Si el primer nombre y el primer apellido se repiten en ms de un usuario, se proceder a incluir los dos apellidos como parte del nombre del usuario. Si el nombre usual incluye dos nombres, ejemplo (Juan Carlos) estos se usarn como uno solo. Los usuarios de sexo femenino no se nombrarn como usuarios de la red utilizando el apellido de casada si fuera el caso. Esto debe apegarse tanto a nombres de usuario como a nombres de correo. Para todos los usuarios ninguno

debe utilizar ttulos o siglas de carreras universitarias. Tampoco se deben utilizar nombres genricos, tales como Administrador Izabal.

3. POLITICAS DE CONTRASEAS Toda cuenta y contrasea es personal e intransferible. Adems las contraseas de la red no se deben utilizar ni ser la misma en sitios externos a la empresa. Para crear contrasea a un nuevo usuario, el Administrador debe asignar una contrasea y lo forzar a cambiar su contrasea al firmar por primera vez. La longitud mnima en la contrasea debe ser de 6 caracteres y se constituye con por lo menos una mayscula, minsculas, nmeros y/o caracteres especiales. Esta no debe contener datos de significancia personal, tales como: Nombres de familiares, fechas significativas, nombres de deportistas, entretenimientos, juegos, mascotas, no deben ser palabras que se encuentren en el diccionario. El cambio de Contrasea debe realizarse automticamente cada 30 das. Se podr cambiar antes en casos especiales, donde se exija un mayor nivel de seguridad. La contrasea no podr repetirse durante 3 periodos de cambio de contrasea. La contrasea se bloquea automticamente al tercer intento de ingresar una cuenta errnea (permanecer bloqueada durante 30 minutos). Si un usuario olvida o pierde su contrasea debe comunicarse con su centro de soporte para solicitar el cambio o desbloqueo de su cuenta. El centro de soporte antes de realizar el cambio debe comunicarse con el usuario o jefe inmediato de est, para confirmar de quien est recibiendo la solicitud. El centro de soporte definir la nueva contrasea y ser obligatorio el cambio al firmar en la red. Ante cualquier duda que la confidencialidad de la contrasea est comprometida, el usuario solicitar inmediatamente a su Administrador de Red, que el sistema le solicite cambio de contrasea. No ingrese contraseas o cuentas con alguna persona a su alrededor. Si se entrega la clave de alguna cuenta, por propsitos extremos, sta debe cambiarse luego de ser utilizada.

4. POLITICA DE UTILIZACION DE CORREO ELECTRONICO Correo Interno El uso de la mensajera es exclusivamente para actividades de la empresa. Los buzones de mensajera no deben utilizarse para almacenar informacin, archivos o mensajes de ndole histrica. El tamao mximo de los buzones personales en los servidores correo ser de 20 MB, salvo casos especiales autorizados por Gerencia. Los casos especiales deben registrarse en un formulario inventario de control documentado con la situacin que origina excepcin. de la de la

No se deben enviar por medio del correo electrnico, archivos adjuntos a un mensaje o mensajes mayores a lo establecido de 5 MB. Queda prohibido el uso de la mensajera para generar cadenas y el envo de un Correo Basura (Junk-e-mail) No est permitido realizar anuncios personales de cualquier ndole al resto de usuarios del servicio del correo. Solo en caso de emergencia Mdica o Social ser el departamento de Recursos Humanos el que enviar este tipo de correos a los usuarios de la red. No se debe utilizar la mensajera para enviar archivos pornogrficos o cualquier otro tipo de mensajes que atenten contra la moral y las buenas costumbres. Esta prohibido el envo de mensajes a toda la lista global de direcciones o a todos los usuarios de un sitio, sin importar su contenido. La informacin que deba llegar a todos los usuarios, debe enviarse a un buzn predefinido de red para que se haga llegar a sus usuarios finales. Correo Externo Tendrn derecho de utilizar este servicio, los usuarios que previamente hayan sido autorizados por su Vicepresidente de rea, Gerente o por el represente del rea ante el Comit de Tecnologa de Informacin de su empresa. Estos usuarios deben registrarse en un listado a llevar por el administrador del servicio de Internet.

Los mensajes enviados o recibidos usando recursos de la empresa, estn sujetos a ser auditados, filtrados por contenido y bloqueados por extensiones de adjuntos. No debe haber expectativa de privacidad en ningn correo, en caso de ser necesario, la informacin contenida en los mensajes puede ser auditada por la persona que indique el Comit de Tecnologa de Informacin. La informacin sensitiva o de carcter confidencial NO debe ser enviada por e-mail, a menos que se pueda establecer un canal seguro de envo empleando mecanismos de encripcin que sean del alcance tanto del emisor como del receptor. Ningn empleado deber dar o utilizar el e-mail de la empresa con propsitos personales. No debe emplearse expresiones o trminos lascivos en el envo de email. Cualquier anomala de este tipo, puede considerarse como un rompimiento de la tica profesional. Debe evitarse el envo de correos masivos. Al subscribirse en listas de correo debe tenerse la precaucin de que sea con propsitos tiles a la tarea que se desempea.

5. POLITICAS DE USO DE INTERNET Son necesarias, ya que los empleados utilizan los recursos de la empresa para acceder al Internet y se comportan por si mismos como representativos de la empresa por lo que todo uso debe ser de la siguiente forma: a. Profesional y no confrontativo b. Firmado en representacin de la empresa Nadie con los recursos de la red, de ninguna forma deben excusar u opinar de forma carente de profesionalismo. Cualquier informacin que se comparta en el Internet debe tener relacin con los intereses positivos de la empresa. No deben utilizarse los recursos para descargar materiales ofensivos o ilegales, como pornografa, pornografa infantil, felona, o de cualquier tipo, literatura o imgenes ofensivas, ni para hacer copias ilegales de software o descarga de sistemas no aprobados por la empresa o por el soporte tcnico.

Tampoco deben emplearse los recursos de la empresa para ejecutar o utilizar juegos, visitar sitios de entretenimiento en Internet, participar en sesiones, discusiones o charlas de Internet que no tengan relacin con el trabajo, ni para pasar o discutir informacin acerca de la empresa con personas ajenas o con la competencia. Los usuarios pueden disponer de este servicio siempre y cuando su trabajo lo amerite, llene el formulario correspondiente y sea autorizado por el Vicepresidente de rea, el Gerente o el representante ante el Comit de Tecnologa de Informtica de la empresa. El administrador de Internet de Tecnologa de Informtica analizar las actividades realizadas en Internet para evaluar su utilizacin, pudiendo publicar esta informacin para que los recursos de la empresa estn dedicados a mantener un alto nivel de productividad en el trabajo. Todo usuario, previo a bajar de Internet cualquier software, imagen o grfica que sea de dominio pblico, debe consultar con el Administrador de su Red, para determinar que el archivo que se quiere bajar no contraviene ninguna norma o estndar establecido por la empresa. Para asegurar el cumplimiento de las polticas autorizadas, la empresa se reserva el derecho de revisar cualquier archivo o material instalado en los equipos de la empresa. Si al revisar un archivo se determina que ste contiene material que contraviene las normas y estndares fijados por la empresa, el mismo debe ser eliminado al momento de ser detectado. Queda terminantemente prohibido bajar o distribuir Software sin la debida autorizacin del Comit de Tecnologa de Informacin y previo al pago de la respectiva licencia, as como su propagacin si contraviene los derechos de autor. Queda estrictamente prohibido el uso deliberado de virus, generar pirmides, cadenas, violar o intentar violar la seguridad de la red de su empresa o la seguridad de otras redes. Por ningn motivo y en ningn medio o lugar debe revelarse informacin confidencial de la empresa y especialmente a travs de Internet, por ejemplo: nmero de computadores personales, configuracin de la red, nombre del Firewall, informacin financiera, de eventos, estadsticas, ventas, presupuestos, estados financieros, etc. Queda prohibido el uso de la Internet para bajar Software de entretenimiento o juegos, imgenes, audio o vdeos. La clave de acceso a Internet est integrada a la seguridad de la red, por lo que no debe compartirse, ya que es de carcter personal.

No debe usarse mdem para ingresar a Internet dentro de la red. Si es necesario conectar una PC a un proveedor de servicio de Internet externo, la PC debe quedar aislada de la red interna, por medio de una doble configuracin del equipo (perfiles de hardware), en donde al estar habilitado el MODEM, se deshabilite fsicamente la red y viceversa. No debe visitar sitios con material ofensivo, pornogrfico o que no contenga aspectos relativos con el inters de la empresa.

6. POLITICAS DE MANEJO DE INFORMACION

Poltica de Sensitividad de Datos Ningn empleado debe sabotear los sistemas de informacin de la empresa, ni propiciar situacin similar. (VER ARTCULO 64 LITERAL F DEL CDIGO DE TRABAJO) Todos los empleados deben firmar un documento, este formulario es el Convenio de Confidencialidad y no competencia, en el que se comprometen a mantener a salvo la informacin y los recursos de la empresa y a no divulgar por ningn medio, todo lo que sea confidencial, durante su relacin laboral y an despus de finalizada la misma. De lo contrario debe atenerse a las sanciones establecidas por la empresa. (VER ARTCULO 63, LITERALES: B Y G Y ARTCULO 77 LITERAL E DEL CDIGO DE TRABAJO) Toda la creacin de programas, macros, hojas y documentos son considerados propiedad de la empresa. La creacin de hojas, macros, programas, deben estar debidamente documentada, tal como lo puede ser formulas, procedimientos, clculos, flujos, etc. La captura y el acceso no autorizado a programas, datos e informacin por cualquier medio o a travs de otra persona, es considerado un robo de informacin confidencial. Poltica para cuidar de robo la informacin en su equipo El personal de Tecnologa de Informtica le puede ayudar en las tareas que se indican a continuacin: Mantenga una copia de los datos sensibles y pst's (Carpetas personales) fuera de la mquina. No mantenga copias personales de la informacin, documentos, hojas, cuadros etc., fuera de la empresa, ni en equipos propios.

Verifique que personal de Tecnologa de Informtica, configure en su equipo contraseas para ingresar a la configuracin de su mquina (BIOS PASSWORD). Mantenga el bloqueo de sistema y/o el descansador de pantalla con contrasea, en un lapso de tiempo de inactividad que define su centro de cmputo de acuerdo a la poltica establecida. Configure en carpetas encriptadas la informacin sensitiva mediante los mecanismos de encripcin de Microsoft. Configure el ingreso a sus archivos utilizando contraseas definidas por usted mismo. Si van a reparar su equipo cuide que la informacin sensitiva no vaya en el equipo. Remuvala o colquela fuera del equipo, guardndola en un lugar seguro.

7. POLTICAS DE RECURSOS HUMANOS Poltica de continuidad del empleo Debe existir un documento firmado por el empleado, en el que acepte el compromiso de entrenar a otros miembros del personal, para asegurarse que el conocimiento del puesto no sea exclusivo de una persona. Poltica de contratacin de empleados Los empleados no deben aceptar remuneraciones, comisiones y gratificaciones por parte de proveedores o bien de socios de negocios o de empresas que se consideren de riesgo para la compaa. Todos los empleados deben comprometerse a mantener a salvo la informacin y los recursos de la empresa y a no divulgar por ningn medio todo lo que sea confidencial durante su relacin laboral y aun despus de finalizada la misma. De lo contrario debe atenerse a las sanciones definidas por la empresa. Sanciones por violacin a las polticas La violacin a las polticas, ser sancionada drsticamente por el Departamento de Recursos Humanos, de acuerdo a las polticas laborales vigentes, para esto debe hacerse del conocimiento de los usuarios las polticas de TI. En el caso de falta a las polticas, debemos ver cuales de las indicaciones no se siguieron, para determinar si hubo o no rompimiento de las polticas. Un delegado de Recursos Humanos, el jefe de 10

Departamento del "infractor" y el responsable de TI de esa rea, analizan la informacin y determinan la sancin. Las polticas de TI deben estar disponibles y al alcance de los departamentos de Recursos Humanos para adiestrar al personal de nuevo ingreso y refrescarlas en el personal ya existente.

8. ACCESO A LAS FACILIDADES Implemente seguridad en sus instalaciones. No deje que personal externo a la empresa permanezca solo dentro de las facilidades de sus oficinas. El personal de seguridad que cuida el ingreso y la salida de las instalaciones deben corroborar los pases de salida de equipo a las personas que los portan y que ningn equipo saldr de las instalaciones sin la respectiva autorizacin.

9. POLTICA OPERACIONAL Poltica para proteccin de pantallas Todos los computadores deben tener instalado un Protector de pantalla, que est autorizado. El bloqueo del dispositivo debe activarse en un lapso de tiempo ya establecido para la utilizacin del computador y al rea en la que se encuentre. El bloqueo del dispositivo debe estar protegido por una contrasea robusta, si es el caso.

Polticas de Antivirus Todos los equipos se actualizan automticamente y se protegen con un antivirus estndar. Los usuarios no deben instalar o utilizar un antivirus individual.

Poltica para servidores Web Ningn usuario tiene autorizado configurar y publicar pginas web en el equipo asignado para sus labores cotidianas, salvo que tenga la autorizacin correspondiente del Departamento de Tecnologa de Informacin mediante carta.

11

Polticas para acceso remoto Deber sancionarse a la persona que instale, utilice o configure un MODEM sin la autorizacin requerida que garantice el empleo de VPN (Red Privada Virtual). Sanciones por falta a las polticas Todas las sanciones, normas y procedimientos, especificas al manejo de personal y los activos encomendados a los usuarios, deben aplicarse de acuerdo a las polticas de RRHH vigentes en la empresa.

10. USO Y CONEXIN DE EQUIPO PROPIO EN LA RED

Debe contar con aprobacin del encargado de informtica de su rea y de su jefe inmediato superior. El encargado de Informtica debe solicitar autorizacin del Gerente General de Tecnologa de Informacin. Debe haber justificacin del uso de equipo propio. El propietario del equipo debe exonerar a la empresa de toda responsabilidad por dao en su equipo. El equipo propio que se conecte va VPN u otro mecanismos autorizado por Tecnologa Central de Informacin, debe contar con antivirus actualizado y un programa de soporte contra malware. El equipo propio que se conecte fsicamente en cualquiera de las redes locales tanto empresa como usuario deben estar dispuestos a cumplir con la instalacin de las polticas: Descansador de pantalla, bloqueo por contrasea, instalacin del antivirus, encripcin de carpetas con informacin sensitiva, instalacin de perfiles de hardware y el propietario debe estar conciente que su equipo ser sujeto de auditorias de Seguridad de Tecnologa de Informacin. Tambin debe estar conciente que podr ser sancionado por daos en la red debido al mal uso o configuracin de programas en su equipo. Al momento de retirar el equipo de las instalaciones de forma definitiva Tecnologa de Informacin y el jefe inmediato del empleado debe revisar que el equipo no lleve informacin de la empresa.

12

GLOSARIO

Adjuntos Un archivo (documento) que se ha enviado junto con un mensaje de correo electrnico. Antivirus Los antivirus son programas cuya funcin es detectar y eliminar virus informticos y otros programas maliciosos (a veces denominado malware).

Backup Copia de seguridad. Accin de copiar documentos, archivos o ficheros de tal forma que puedan recuperarse en caso de fallo en el sistema. Bios En computacin, el sistema bsico de entrada/salida Basic Input-Output System (BIOS) es un cdigo de interfaz que localiza y carga el sistema operativo en la RAM. sta proporciona la comunicacin de bajo-nivel, operacin y configuracin con el hardware del sistema, que como mnimo maneja el teclado y proporciona salida bsica durante el arranque. La BIOS usualmente est escrita en lenguaje ensamblador. Carpetas personales (PSTs) Configuracin de flderes en el disco duro local para poder almacenar los correos electrnicos. Email Correo electrnico, en ingls email, es un servicio de red para permitir a los usuarios enviar y recibir mensajes. Junto con los mensajes tambin pueden ser enviados ficheros como paquetes adjuntos. Encriptar Conversin de los datos propios a un cdigo privado e ilegible para los dems. La encriptacin transforma la informacin en un texto

incomprensible, por medio de un algoritmo (o secuencia de operaciones) que responde a una clave de encriptacin denominada llave.

13

Entrada y Salida Input/Output, entrada/salida. Generalmente hace referencia a

dispositivos o puertos de comunicacin (serie, paralelo, joystick...) oa la tarjeta que los controla (si no estn integrados en la placa base). Extensiones Ultimas tres letras despus del punto en el nombre de un archivo, las cuales identifican a que programa pertenece. Firewall Un corta fuegos o firewall en Ingls, es un equipo de hardware o software utilizado en las redes para prevenir algunos tipos de comunicaciones prohibidos por las polticas de red, las cuales se fundamentan en las necesidades del negocio. Hardware Se denomina hardware o soporte fsico al conjunto de elementos materiales que componen un ordenador. En dicho conjunto se incluyen los dispositivos electrnicos y electromecnicos, circuitos, cables, tarjetas, armarios o cajas, perifricos de todo tipo y otros elementos fsicos. Internet Conjunto de ordenadores, o servidores, conectados en una red de redes mundial, que comparten un mismo protocolo de comunicacin, y que prestan servicio a los ordenadores que se conectan a esa red; debe decirse siempre "la Internet"

Junk-email Mensajes de correo basura. El "junk mail" es el equivalente electrnico a los kilos de propaganda que inundan los buzones de las casas. Es una prctica prohibida por la comunidad Internet.

14

Licencia Permiso necesario para hacer uso del software instalado en la computadora.

Malware Programa maliciosos intencionados para robar informacin. MB Es una unidad de medida de cantidad de datos informticos.

MODEM Aparato que permite a un ordenador enviar y recibir informacin por telfono.

PCs Personal Computer. Nombre genrico que se les da a los ordenadores personales, generalizando, los que contienen un solo microprocesador.

Perfiles de Hardware Los equipos estn configurados para diferentes utilidades y dependiendo del uso que se le solicite se anula el hardware que no es necesario. Pirmide Termino utilizado para referirse a la accin de originar una cadena de mensajes

Poltica Regla que debe cumplirse. Red En informtica, interconexin de computadoras mediante cables u ondas radiales o telefnicas. Software Trmino genrico que designa al conjunto de programas operativos que posibilitan el uso del computador personal; aplicacin, programa de cmputo; soporte lgico informtico; programacin.

15

Spam Se denomina con este trmino al correo electrnico que se recibe de forma indeseada, generalmente con carcter comercial.

Virus Programas muy sofisticados dedicados generalmente a causar un dao en la informacin o programas contenidos en un ordenador. Las repercusiones pueden ser desde simplemente simblicas hasta la destruccin total del contenido de un disco o unidad de almacenamiento. Sus caractersticas principales son la transmisin o "infeccin" entre ordenadores y su ocultacin mientras se expanden generando daos paulatinos o quedando en letargo, hasta que una fecha concreta o un proceso los pone en marcha. La mejor proteccin es no introducir ficheros, a travs de disquetes, correos electrnicos, etc. de contenido dudoso en ningn ordenador. Se conocen como antivirus a las utilidades de bsqueda y destruccin de estos programas. VPN Enlace remoto a la red de la empresa a travs de un tnel virtual de proteccin.

WEB Red de documentos html intercomunicados y distribuidos entre servidores de Internet.

16

COMPENDIO DE LINEAMIENTOS EN TECNOLOGA DE INFORMACIN

Vnculo al documento de polticas
http://gallo/corpora/apoyo/Comites/Comite%20de%20Informatica/proyectos %informatica/ci/seguridad/Marco%20Seguridad.htm

POLITICAS DE UTILIZACION DEL EQUIPO DE CMPUTO El uso del equipo es responsabilidad del usuario. No se debe alterar la configuracin de hardware y software del equipo de cmputo. Toda la creacin de programas, macros, hojas y documentos son considerados propiedad de la empresa. La creacin de hojas, macros, programas, deben estar debidamente documentada, tal como lo puede ser formulas, procedimientos, clculos, flujos, etc.

POLITICA DE CREACION DE CUENTAS y CONTRASEAS DE USUARIO Solo gerentes o jefes de departamento pueden solicitar la creacin de cuentas de usuario. El uso de la cuenta es personal e intransferible. No se debe divulgar y debe formarse por el primer nombre y apellido sin espacios.

El responsable de la cuenta es sujeto a sanciones por el mal uso de esta.

POLITICAS DE CONTRASEAS Toda cuenta y contrasea es personal e intransferible. Adems las contraseas de la red no se deben utilizar ni ser la misma en sitios externos a la empresa. La contrasea se estructura de forma compleja y con longitud mnima de 6 caracteres. La contrasea se cambia cada 30 das y no debe repetirse.

17

POLITICA DE UTILIZACION DE CORREO ELECTRONICO El uso de la mensajera es exclusivamente para actividades laborales de la empresa. Queda prohibido el uso de la mensajera para generar cadenas y el envo de un Correo Basura (Junk-e-mail). No est permitido realizar anuncios personales de cualquier ndole al resto de usuarios del servicio del correo. Solo en caso de emergencia Mdica o Social ser el departamento de Recursos Humanos el que enviar este tipo de correos a los usuarios de la red. La informacin sensitiva o de carcter confidencial NO debe ser enviada por email, a menos que se pueda establecer un canal seguro de envo empleando mecanismos de encripcin que sean del alcance tanto del emisor como del receptor. POLITICAS DE USO DE INTERNET Cualquier informacin que se comparta en el Internet debe tener relacin con los intereses positivos de la empresa. No deben utilizarse los recursos para descargar materiales ofensivos o ilegales, como pornografa, pornografa infantil, felona, o de cualquier tipo, literatura o imgenes ofensivas, ni para hacer copias ilegales de software o descarga de sistemas, juegos, videos, msica, etc. no aprobados, por la empresa o por el soporte tcnico. Tampoco deben emplearse los recursos, para ejecutar o utilizar juegos, visitar sitios de entretenimiento en Internet, participar en sesiones, discusiones o charlas de Internet que no tengan relacin con el trabajo, ni para pasar o discutir informacin acerca de la organizacin con personas ajenas o con la competencia. Para asegurar el cumplimiento de las polticas autorizadas, la empresa se reserva el derecho de revisar cualquier archivo o material instalado en los equipos de la empresa.

POLITICAS DE MANEJO DE INFORMACIN Ningn empleado debe sabotear los sistemas de informacin de la empresa, ni propiciar situacin similar. Todos los empleados deben firmar un documento, este formulario es el Convenio de Confidencialidad y no competencia, en el que se comprometen a mantener a salvo la informacin y los recursos de la empresa y a no divulgar por ningn medio, todo lo que sea confidencial, durante su relacin laboral y an despus de finalizada la misma. 18

POLTICAS DE RECURSOS HUMANOS Debe existir un documento firmado por el empleado, en el que acepte el compromiso de entrenar a otros miembros del personal, para asegurarse que el conocimiento del puesto no sea exclusivo de una persona. Los empleados no deben aceptar remuneraciones, comisiones y gratificaciones por parte de proveedores o bien de socios de negocios o de empresas que se consideren de riesgo para la compaa. Todos los empleados deben comprometerse a mantener a salvo la informacin y los recursos de la empresa y a no divulgar por ningn medio todo lo que sea confidencial durante su relacin laboral y aun despus de finalizada la misma. De lo contrario debe atenerse a las sanciones definidas por la empresa.

Sanciones por violacin de las polticas. En el caso de falta a las polticas, para determinar si hubo o no rompimiento de las polticas. Un delegado de Recursos Humanos, el jefe de Departamento del "infractor" y el responsable de TI de esa rea, analizan la informacin y determinan la sancin. Las polticas de TI deben estar disponibles y al alcance de los departamentos de Recursos Humanos para adiestrar al personal de nuevo ingreso y refrescarlas en el personal ya existente.

ACCESO A LAS FACILIDADES No deje que personal externo a la empresa permanezca solo dentro de las facilidades de sus oficinas. El personal de seguridad que cuida el ingreso y la salida de las instalaciones deben corroborar los pases de salida de equipo a las personas que los portan y que ningn equipo saldr de las instalaciones sin la respectiva autorizacin.

POLTICA OPERACIONAL Todos los equipos deben tener un descansador de pantalla autorizado y activacin de bloqueo con contrasea. Todos los equipos cuentan con un antivirus.

19

USO Y CONEXIN DE EQUIPO PROPIO EN LA RED Debe contar con aprobacin del encargado de informtica de su rea y de su jefe inmediato superior. Debe haber justificacin del uso de equipo propio. El propietario del equipo debe exonerar a la empresa de toda responsabilidad por dao en su equipo. El equipo propio que se conecte va VPN u otro mecanismos autorizado por Tecnologa de Informacin, debe contar con antivirus actualizado y un programa de soporte contra cdigo malicioso (malware). El equipo propio que se conecte fsicamente en cualquiera de las redes locales, tanto empresa como usuario deben estar dispuestos a cumplir con la instalacin de las polticas: Descansador de pantalla, bloqueo por contrasea, instalacin del antivirus, encripcin de carpetas con informacin sensitiva, instalacin de perfiles de hardware y el propietario debe estar conciente que su equipo ser sujeto de auditorias de Seguridad de Tecnologa de Informacin. Tambin debe estar conciente que podr ser sancionado por daos en la red debido al mal uso o configuracin de programas en su equipo. Al momento de retirar el equipo de las instalaciones de forma definitiva Tecnologa de Informacin y el jefe inmediato del empleado debe revisar que el equipo no lleve informacin de la empresa.

CUADRO DE SANCIONES
Informativa

Aspecto a sancionar Robo, de Hardware y/o Software Descuido del equipo de trabajo Modificar la configuracin de Hardware sin la autorizacin correspondiente Intercambiar el equipo entre colaboradores sin autorizacin correspondiente Irresponsabilidad en el uso de la cuenta y/o la contrasea de red Irrespeto en la confidencialidad de la cuenta y/o la contrasea de red Uso de correo interno y/o externo con propsitos ajenos a la empresa Envo de correo masivo Emisin de cadenas por correo Descarga de archivos por internet no relacionados al trabajo que se desempea Descargar de archivos multimedia por internet, si no es su trabajo Modificar la configuracin de sistema, polticas y/o parmetros sin autorizacin de su departamento de Tecnologa. Instalar programas que no son de inters a la empresa Ingreso con permanencia en sitios prohibidos u ofensivos.

1er. Ocurrencia
SN4 SN2 SN1 SN1 SN1 SN1 SN1 SN2 SN2 SN1 SN2 SN2 SN2 SN2

2da. Ocurrencia
SN3 SN2 SN2 SN2 SN2 SN2 SN3 SN3 SN2 SN2 SN2 SN2 SN2

3er. Ocurrencia
SN4 SN3 o SN4 SN3 SN3 SN3 SN3 SN3 SN3 o SN4 SN3 SN3 SN3 SN3 SN3

20

Compartir archivos multimedia por la red Almacenar archivos multimedia de forma desmedida en el computador Conectar equipo de cmputo en tomas no protegidas, elctricas o datos Sabotear la informacin que se pueda observar en los sistemas de informacin, sobre la red, en medios compartidos, en cualquier medio de almacenamiento, o en cualquier computador Utilizar los buzones de correo como repositorio de informacin personal No documentar, formulas, instrucciones macro o procedimientos. Conectar el equipo a una red de datos telefnica, mientras se encuentra conectado a la red de datos local de la empresa. Participar y/o propiciar eL Robo de informacin, archivos o documentos. Participar y/o propiciar el Robo de computadoras o sus dispositivos. Violar estndares implementados por los centros de cmputo. Cualquier otro que este contemplado en la Poltica y que por su naturaleza no se mencione en este cuadro (especificar) Especificar

SN1 SN1 SN1

SN2 SN2 SN2

SN3 SN2 SN2

SN4 SN2 SN1 SN2 SN4 SN4 SN2 SN2 SN3 SN2 SN2 SN2 SN2 SN2 SN3

SN1o SN2

SN2 o SN3

SN3 o SN4

SN1: Sancin Nivel 1 (Llamada de atencin verbal). SN2: Sancin Nivel 2 (Llamada de atencin escrita). SN3: Sancin Nivel 3 (Suspensin). SN4: Sancin Nivel 4 (Despido).

Una llamada de atencin por correo electrnico se considera como llamada de atencin verbal

21