UNIVERSIDAD NACIONAL DE SAN MARTÍN

FACULTAD DE INGENIERÍA DE SISTEMAS E

INFORMÁTICA

ESCUELA PROFESIONAL DE INGENIERÍA DE

SISTEMAS E INFORMÁTICA

POLITICAS DE SEGURIDAD
DIRECCIÓN REGIONAL DE TRANSPORTES Y
COMUNICACIONES

ASIGNATURA : AUDITORÍA Y SEGURIDAD EN SISTEMAS DE

INFORMACIÓN

DOCENTE : ING. MBA. CARLOS E. LOPEZ RODRIGUEZ

INTEGRANTES :

 AMASIFEN PIMENTEL RICHARD MILLER

 CHAVEZ AMASIFEN CHRISTIAN JESUS
 TAPIA PINEDO LADY KARINA
 ÍNDICE
I. INTRODUCCION ................................................................................................................ 3
II. OBJETIVOS ........................................................................................................................ 4
III. ALCANCE ........................................................................................................................... 4
IV. DEFINICIONES................................................................................................................... 4
V. RESPONSABILIDADES Y CUMPLIMIENTOS ............................................................. 7
VI. POLITICAS .......................................................................................................................... 8

Página | 2
I. INTRODUCCION

La dirección regional de transportes y comunicaciones (DRTC) – San

Martín, es una entidad pública, que busca “Integrar interna y
externamente a la Región San Martín, mediante la implementación de
Infraestructura Vial y de Telecomunicaciones Interconectando los
centros poblados en las áreas productivas y mercados, con la
finalidad de alcanzar el bienestar con inclusión social, coadyuvando al
desarrollo integral de los pueblos de la región a través de la
regulación, promoción de la inversión privada, ejecución y supervisión
de la Infraestructura de Transportes y Comunicaciones”.

La DRTC, reconoce que es de gran importancia la seguridad

informática, por esta razón, se implantaran las siguientes políticas
dentro de la Unidad de Tecnologías de Información, con la finalidad
de especificar las medidas que protejan la disponibilidad, integridad y
confidencialidad de la información propia de la organización.

Es de suma importancia establecer la forma en como está

estructurado el presente documento: en la primera parte se
establecerán los objetivos que se han implantado, además del
alcance y algunas definiciones que nos ayudaran durante el proceso
de la elaboración de las políticas de seguridad. Luego se definirá las
responsabilidades del personal encargado y su cumplimiento; para
finalizar se establecerán de forma ordenada y clara, las políticas de
seguridad de acuerdo al análisis de riesgo que se ha realizado.

Página | 3
II. OBJETIVOS
 Establecer normas respecto al correcto uso que el personal
haga de los activos de la Unidad de Tecnología de Información,
así como las medidas que se deben realizar para su protección.
 Suministrar al personal de la UTI una herramienta que permita
la fácil toma de decisiones de forma apropiada, ante las
situaciones que se presenten.
 Promover al personal la importancia del cumplimiento de las
Políticas de Seguridad y la comprensión de sus
responsabilidades.

III. ALCANCE
Las Políticas de seguridad establecidas en este documento es
aplicable a todos los procesos, actividades y servicios desarrollados
en la organización.

A todos los directores, trabajadores, visitantes y otros; cuando se

encuentren dentro las instalaciones de la organización.

IV. DEFINICIONES

4.1. Políticas de seguridad

Las políticas de seguridad son un conjunto de reglas, normas y

protocolos de actuación que se encargan de velar por la
seguridad informática de la empresa. Se trata de una especie
de plan realizado para combatir todos los riesgos a los que está
expuesta la empresa en el mundo digital. De esta forma
mantendremos nuestra organización alejada de cualquier
ataque externo peligroso.

Página | 4
4.2. Activos

Los activos son todos aquellos bienes, recursos, derechos y

valores con los que cuenta una empresa, es decir, todo aquello
que suma a su favor. Pueden ser bienes inmuebles,
construcciones, infraestructuras, máquinas, vehículos, equipos
tecnológicos o sistemas informáticos, pero también derechos
de cobro por servicios prestados a terceros o la venta física de
productos y bienes a sus clientes.

4.3. Funciones

En el mundo del trabajo, y merced a la división de tareas,

especialmente nacido el concepto en la modernidad, cada
trabajador cumple un específico rol (es cajero,
vendedor, administrativo, secretario, gerente, etcétera) aunque
puede haber rotación de funciones en determinadas áreas y
por ciertos períodos, de acuerdo a las necesidades de la
empresa, sin que atente a la calificación del trabajador.

4.4. Responsabilidades

Responsabilidad es el cumplimiento de las obligaciones, o el

cuidado al tomar decisiones o realizar algo.

4.5. Personal
Se conoce como personal al conjunto de las personas que
trabajan en un mismo organismo, empresa o entidad. El
personal es el total de los trabajadores que se desempeñan en
la organización en cuestión

4.6. Cumplimiento
Cumplimiento es un término que tiene su origen en vocablo
latino complementum y que hace mención a la acción y efecto
de cumplir o cumplirse. El verbo cumplir, por su parte, refiere
a ejecutar algo; remediar a alguien y proveerle de aquello que
le falta; hacer algo que se debe; convenir; o ser el día en que
termina un plazo o una obligación.

Página | 5
4.7. Propósito

El propósito es la intención o el ánimo de hacer o dejar de

hacer algo. En el habla cotidiana, se suele utilizar en la
expresión a propósito como sinónimo del término adrede, para
señalar una acción deliberada, generalmente perjudicial o
molesta para un tercero.

4.8. Información confidencial

Es aquella que se refiere a Datos Personales.

No puede divulgarse sin el consentimiento expreso de su titular.

El carácter de Información Confidencial es PERMANENTE, no

está condicionado o limitado a un plazo o término.

Página | 6
V. RESPONSABILIDADES Y CUMPLIMIENTOS
Del director de la DRTC:

La dirección de la organización, lidera la correcta organización de las

políticas de seguridad, garantizando que la seguridad sea aceptada
en todos los niveles de organización. De la misma manera, se asegura
del cumplimiento de los deberes establecidos en este documento.

 Formular, aprobar, ejecutar, evaluar, dirigir, controlar y

administrar los planes y políticas en materia de Transportes y
Telecomunicaciones de la Región San Martín.
 Es responsable de desarrollar acciones de sensibilización y
capacitación, a fin de promover el cumplimiento de las normas
de seguridad por parte de los trabajadores.

Del director de oficina de control institucional:

La dirección de la oficina de control institucional tiene el deber de:

 Proveer evaluación objetiva a la entidad a través del proceso

de auditoría interna sobre la efectividad de las políticas y
acciones en la materia.

Del personal:

Todos los trabajadores están obligados a cumplir las normas

contenidas en este documento. Entonces:

 Tiene el compromiso de cumplir responsablemente con lo

formalizado en este documento y aplicarlo dentro de su entorno
laboral. Al mismo tiempo, tiene el deber de alertar de manera
oportuna y adecuada cualquier incidente que ponga en riesgo
los activos de la organización.
 No operan ni manipular equipos o herramientas para los cuales
no han sido autorizados ni capacitados.
 Participaran activamente en las capacitaciones.
 Mantienen limpio y ordenado su ambiente de trabajo.
 Cooperan en los procesos de investigación de incidentes en el
trabajo.
Página | 7
VI. POLITICAS GENERALES:
a. Ayudar a mantener limpia y ordenada el ambiente de trabajo;
asimismo colocar materiales inservibles o basura en lugares
adecuados.
b. Antes de dar inicio con sus labores, deberá revisar los equipos y
herramientas informáticas que va usar, para verificar su buen
funcionamiento, en caso contrario debe informar cualquier
deficiencia encontrada.
c. Señalizar la zona de trabajo y poner las medidas de protección
colectivas, ante posibles riesgos.
d. Está prohibido fumar dentro del ambiente de trabajo.

VII. POLITICAS:
7.1. Política de control de acceso
7.1.1. PROPÓSITO

Definir las exigencias para el control adecuado de accesos

a los sistemas de información dentro de la organización.

7.1.2. ALCANCE

Esta política es aplicada al personal de la Unidad de

tecnologías de información y al personal que tengan
acceso a los sistemas.

7.1.3. POLÍTICAS:
 Los controles automáticos, los procesos de revisión
periódica y las herramientas de análisis de datos deben
estar en el lugar apropiado para detectar cualquier intento
para evitar los controles.
 Todo sistema que contenga información confidencial de
la organización debe estar protegida con sistema de
control de acceso (Contraseñas o Clave de acceso).
 El acceso a los sistemas será limitado, de acuerdo a los
permisos o privilegios que se le asigne a cada usuario,

Página | 8
 recibiendo derechos mínimos necesarios para cumplir
con sus funciones.
 Los usuarios deben abstenerse de tratar de forzar o
evadir los controles de acceso con el fin de obtener un
mayor nivel de acceso.

Riesgos asociados: Deficiente control de la seguridad, Perdida de información y

daños en los archivos, Fugas de información, Fraude o robo de información.

7.2. Política de control de contraseñas

7.2.1. PROPÓSITO
Definir las exigencias para el control de contraseñas, de su
correcto uso y manejo seguro de las contraseñas por cada
usuario en la organización.
7.2.2. ALCANCE

Esta política es aplicada al personal de la Unidad de

tecnologías de información y al personal que tengan
acceso a los sistemas.

7.2.3. POLITICAS:

 Todo sistema que contenga información confidencial de

la organización debe estar protegida con sistema de
control de acceso (Contraseñas o Clave de acceso).
 A cada trabajador se le asignara un usuario y contraseña
única y personal para el acceso a los sistemas. (Los
usuarios y contraseñas son personales, por tanto, no
deben prestarse, ni compartirse)
 Las contraseñas deben ser seguras y difíciles de adivinar,
deben tener como mínimo 8 caracteres, se recomienda
usar números, letras y caracteres especiales.
 Las contraseñas deberán ser usadas por un periodo de
30 días o cuando lo establezca la unidad de tecnologías

Página | 9
 de información. Las contraseñas de los usuarios que no
necesitan renovación, deberán tener como mínimo 16
caracteres.
 Si se sospecha que alguna u otra persona conozca la
contraseña, deberá cambiar inmediatamente de
contraseña.
 Las contraseñas no deben ser registradas en papel,
dispositivos, archivos digitales u otros, a menos que
puedan ser guardadas de forma segura.

Riesgos asociados: Fugas de información, Fraude o robo de información.

7.3. Política de antivirus

7.3.1. PROPÓSITO

Definir las exigencias que deben cumplir con respecto al

uso del antivirus para su correcto funcionamiento, en la
protección de información de la organización.

7.3.2. ALCANCE

Esta política es aplicada a todos los equipos informáticos

de la organización y al personal que haga uso de ello.

7.3.3. POLÍTICAS:
 Todos los equipos informáticos con acceso a la red de la
organización deben tener instalado un antivirus
(KASPERSKY ENDPOINT SECURITY).
 Revise siempre con el antivirus sus unidades de disco,
antes de usarlas.
 Nadie podrá desinstalar el programa de antivirus, salvo el
encargado de soporte, en ese caso se debe contar con
una contraseña, de acuerdo a las políticas de control de
contraseñas.
 El antivirus se debe mantener actualizada y licenciada.
 Se debe capacitar constantemente al personal para la
correcta administración de la plataforma.
Página | 10
 Riesgos asociados: Perdida de información y daños en los archivos. Bajo
rendimiento de la red.

7.4. Políticas de vigilancia

7.4.1. PROPÓSITO

Definir las exigencias para el sistema de vigilancia, para la

seguridad interna de la organización.

7.4.2. ALCANCE

Esta política es aplicada al vigilante, visitas y el personal

en general.

7.4.3. POLITICAS:
 Cuando sea necesario, deberá ser controlado el acceso
al entorno de trabajo, debiendo adoptarse las
precauciones necesarias para evitar la presencia de
terceras personas y así impedir el uso no autorizado de
los equipos informáticos.
 Las personas externas deberán contar con un permiso
para poder ingresar a otras áreas que no sean de atención
general, permiso que el personal responsable debe exigir.
 Toda persona que ingrese o salga de las instalaciones de
la organización portando maletines o paquetes, está
obligado a mostrar el contenido al vigilante, para la
respectiva verificación.
 Está prohibido el ingreso de personas que se sospechen
en estado etílico o bajo la influencia de drogas.
 Todo visitante está obligado a identificarse con su DNI,
ante el personal de vigilancia antes de ingresar a la
organización.

Riesgos asociados: Deficiente control de seguridad, Fugas de información, Fraude

y robo de información, Pérdida o robo de equipos informáticos, Daños en los equipos
informáticos.

7.5. Políticas de seguridad física

7.5.1. PROPÓSITO

Página | 11
 Definir exigencias para mantener de forma segura la
integridad física de las personas que acuden o se
encuentran dentro a la organización.
7.5.2. ALCANCE
Esta política es aplicada a los equipos informáticos e
instalaciones de la organización.

7.5.3. POLITICAS:
 Deben existir sistemas de temperatura, sistema de
detección y extinción de incendios, sistema de vigilancia,
monitoreo y alarmas.
 Permitir el fácil y rápido acceso a los extintores de
incendio.
 Todos los equipos informáticos deben estar conectados a
los UPS o estabilizadores durante su uso.
 Verificar que la señalización sea adecuada.
 Mantener despejadas las salidas para el personal.
 Los interruptores, la señalización, etc., deben quedar
totalmente visibles.

Riesgos asociados: Incendios, Desastres naturales.

7.6. Seguridad de los equipos

7.6.1. PROPÓSITO
Definir las exigencias para el control de seguridad de los
equipos informáticos de la organización.
7.6.2. ALCANCE
Esta política es aplicada a todos los equipos informáticos,
al personal de UTI (Soporte), personal en general, visitas e
instalaciones de la organización.

7.6.3. POLITICAS:

Página | 12
  Los equipos informáticos deben estar físicamente
protegidos contra amenazas de acceso no autorizado y
amenazas ambientales.
 El personal de soporte debe realizar las actividades de
mantenimiento de todos los equipos informáticos y en el
tiempo previsto.
 El centro de servidores y cableado debe mantenerse
alejado de áreas que corran el riesgo de inundaciones e
incendios.
 Todo accidente del trabajo será informado
inmediatamente al jefe inmediato superior.
 Toda persona que ingrese o salga de las instalaciones de
la organización portando maletines o paquetes, está
obligado a mostrar el contenido al vigilante, para la
respectiva verificación.
 Al finalizar la jornada laboral se deberá desconectar
algunas máquinas o aparatos, a fin de prevenir siniestros.
 La zona de almacenamiento de los equipos informáticos
deben estar correctamente iluminado y ventilado.

Riesgos asociados: Sobrecalentamiento de los equipos informáticos, daños en los

equipos informáticos.

7.7. Políticas de copias de seguridad

7.7.1. PROPÓSITO
Salvaguardar la información de la Dirección Regional de
Transportes y comunicaciones –Tarapoto y asegurar la
continuidad de la empresa ante una posible catástrofe
informática, natural o ataque.
7.7.2. ALCANCE
Esta política es aplicada al personal del área de la Unidad
de tecnologías de información y al personal que tengan
acceso a los sistemas y a la información de la organización.

Página | 13
 7.7.3. POLITICAS:
 La empresa identificará a los responsables de realizar los
Backus y de definir el procedimiento para hacer las copias
de seguridad y restaurarlas.
 se llevará un control de los soportes utilizados, se vigilará
que sólo tiene acceso personal autorizado y que se
destruyen los soportes de forma segura, en caso de tener
que desecharlos. Los mismos criterios de seguridad serán
aplicables en caso de hacer copias en la nube.
 La información confidencial y la que requiera de
almacenamiento debe estar cifrada. De esta manera
protegemos los datos en caso de robo de información o
accesos no autorizados.

Riesgos asociados: Perdida de información y daños en los archivos.

7.8. Política de internet

7.8.1. PROPÓSITO
Mejorar la productividad, y mantener los sistemas de
información existentes permitiendo obtener información
confiable, de calidad y de sencilla manipulación a nivel
interno de la empresa
Cumplir de manera adecuada con la realización de las
tareas de la organización.
7.8.2. ALCANCE
Esta política es aplicada al personal de la Unidad de
tecnologías de información que están a cargo de manejo
del servicio y al personal que haga uso de este mismo

7.8.3. POLITICAS:
 La infraestructura o servicios de la red de datos debe
responder a los objetivos y fines que establezca la

Página | 14
 Dirección Regional de Transportes y comunicaciones-
Tarapoto.
 La unidad de Tecnologías de información está a cargo de
administrar los servicios de la red de datos de manera
exclusiva, con el personal especializado en esta función y
en los casos necesarios.
 La UTI vigilará que la infraestructura de la red sea
utilizada únicamente en actividades relacionadas con los
objetivos institucionales
 La UTI se asegurará del buen estado de la infraestructura
de la red, así como del cumplimiento de las normas
recomendadas para este tipo de instalaciones.
 La UTI Ofrecerá los medios y mecanismos para que los
usuarios obtengan el servicios de internet de calidad,
con los niveles de seguridad adecuados y favoreciendo el
máximo aprovechamiento de los recursos informáticos y
de comunicaciones disponibles.

Página | 15
Página | 16