-

- JSistem
.
<O

T AC T

c r

MANUAL DE POLITICAS Y NORMAS DE SEGURIDAD INFORMATICA

T[

......... c;i,,......,........ :."''

SISTEM CONTACT - CENTER

!. 1....

NDICE
IN'IRODUCCION
INTERPRETACIN
JUSTIFICACION
OBJETIVO GENERAL
OBJETIVO ESPECIFICO
VIGENCIA
ALCANCE
SANCIONES
BENEFICIOS
GLOSARIO
l. SEGURIDAD ORGANIZACIONAL

1.1 POLITICAS GE ERALES DE SEGURIDAD

1.2 EXCEPCIO ES DE RESPO SABILIDAD
1.3 CLASIFICACIO

Y CO TROL DE ACTIVOS

RESPO SABILIDAD POR LOS ACTIVOS

CLASIFICACI

DE LA INFORMACI

1.4 SEGURIDAD LIGADA AL PERSONAL

REFERE TE A CO TRATOS
EL EMPLEADO
CAPACITACI

A USUARIOS

1.5 RESPUESTAS A INCIDE TES Y ANOMALIAS DE SEGURIDAD

2. SEGURIDAD LEGAL
2.1 CUMPLlMlE TO DE REQU ISITOS LEGALES
LICE CIAMIE TO DE SOFTWARE

Elaborado por el Departamento Tecnologa y

Telecomunicaciones Ingeniera Ana Ca margo Ayub
Versin 2.0

Fecha: Julio

JSistem
.
3. SEGURIDAD LOGSTICA
3.1 CONTROLES DE ACCESO A USUARIOS DE LA RED SISTEM CO TAC CE TER
3.2 ADMINISTRACI

DEL ACCESO A USUARIOS A LOS SERVICIOS INFORMATICOS DE

SISTEM CO TACT
RESPO

SABILIDADES DEL USUARIO

ORMATIVA DEL USO DE CORREO ELECTR ICO

USOS ACEPTABLES DE LOS SERVICIOS DE INTER ET

3.3 CO TROL DE ACCESO RED

3.4 CO TROL DE ACCESO A LAS APLICACIO ES
3.5 CONTROL DE ACCESO AL SISTEMA OPERATIVO
3.6 MO ITOREO DEL ACCESO Y USO DEL SISTEMA
3.7 RESPO SABILIDAD Y PROCEDIMIE TOS OPERATIVOS
3.8 PLANIFICACIO
3.9 PROTECCIO

Y ACEPTACIO

DE SISTEMA

CO TRA SOFTWARE MALISIOSO

3.10

MANTE !MIENTO DE SISTEMAS Y EQUIPOS DE COMPUTOS

3.11

SEGURIDAD E

EL MA EJO DE LOS MEDIOS DE ALMACE AMIE NTO

4. SEGURIDAD FSICA Y AMBIENTAL

4.1 SEGURIDAD DE LOS EQUIPOS
4.2 CO TROLES GE ERALES
4.3 SEGURIDAD E ACCESO DE TERCEROS
5. RECOMENDACIONES

6. PLAN ES'IRATEGIC O DE IMPLEMENTACION

6.1. DESCRIPCIO

DE PUESTOS Y PERFILES

6.1.1 UNIDAD DE SISTEMAS

6.1.2 PERFIL GESTOR DE SEGURIDAD
OBJETIVOS QUE DEBE CUMPLIR
FORMACION PROFESIO AL
HABILIDADES PERSO ALES
DEBERES Y RESPO SABILIDADES
RESPONSABLE DE LOS ACTIVOS

JSistem.

INTRODUCC ION

La base para que cualquier organizacin pueda operar de forma confiable en materia de seguridad
informtica , comienza con la definicin de las polticas .

La seguridad informtica es una funcin en la que se debe evaluar y administrar los riesgos basndose en
las polticas que cubra n las necesidades de Sistem Contact - Center en materia de seguridad .

El siguiente documento fue elaborado de manera sencilla para que sea interpretado

por

cualquier

trabajador de Sistem Contact - Center, independientemente de su nivel informativo, pretende ser el medio
de comunicacin en el cual se establecen las reglas , normas y controles que regulen la forma en que la
empresa, prevenga , proteja y maneje los riesgos de seguridad en diversas circunstancias .
La aplicacin de las normas expuestas en el presente documento se han ideado de forma que su
cumplimiento pueda efectuarse de la manera ms simple y evitando interferir con las funciones de los
trabajadores , sin embargo en ningn momento pretenden ser normas absolutas , las mismas estn sujetas a
cambios realizables en cualquier momento , siempre y cuando se tenga presente los objetivos

de

seguridad .

Los recursos de la empresa estn disponibles para fortalecer el flujo de informacin en materia

de

Sistemas y Telecomunicaciones , as como el servir de apoyo en las diferentes tareas encomendadas para
el mejoramiento de nuestras labores. Por lo tanto el personal deber enmarcar sus esfuerzos para que
todas las normas y polticas concernientes a su entorno de trabajo y utilizacin de recursos informticos
se cumpla n a cabalidad .

Toda persona que utilice los servicios que ofrece la red de la Empresa , deber conocer y aceptar todo lo
establecido en este documento sobre su uso, el desconocimiento del mismo,

no

exonera

de

responsabilidad al usuario ante cualquier eventualidad que involucre la seguridad de la informacin o de

la red de la empresa.

En trminos generales este documento engloba los procedimientos adecuados que seden tener en Materia
de Seguridad Organizacional , Seguridad Legal, Seguridad Fsica, Seguridad Logstica .

JSistem.

INTERPRETACI ON

Los niveles de seguridad fueron organizados constatando un enfoque objetivo de la situacin real de la
Empresa , desarrollando cada poltica con sumo cuidado sobre que activo proteger , de que protegerlo ,
como protegerlo y por que protegerlo . Los mismos se organizan siguiendo el esquema normativo de
seguridad del Instituto Colombiano de Normas Tcnicas y Certificacin , ICONTEC y las normativas de
control interno como el MECI 1000 y de calidad como la NTCGP 1000 apoyado por estndares
internacionales (COSO, IS09001 respectivamente) y que a continuacin se representa.

l. Nivel de Seguridad Organiz ativo:

a. Seguridad Organizacional
b. Polticas Generales de Seguridad
c. Clasificacin y Control de Activos

Responsabilidad por los Activos

Clasificacin de la informacin

d. Seguridad ligada al personal

puesta a incidentes y anomalas de Seguridad

2. Nivel de Seguridad Red legal

a. Seguridad Legal
b. Conformidad con la legislacin
c. Cumplimiento de Requisitos legales
d. Revisin de polticas de seguridad y Cumplimiento Tcnico

3. Nivel de Seguridad Fsica y Lgica

a. Controles de Acceso
b. Administracin de Acceso de Usuarios

c. Controles de Acceso a las aplicaciones

d. Monitoreo del Acceso y uso del sistema

JSistem.

JUSTIFICACIN

La seguridad, en lo que se refiere a una infraestructura de informacin, es un concepto relacionado

con los componentes del sistema (el hardware) , las aplicaciones utilizadas en la empresa (software) y
el manejo que se d del conjunto (el conocimiento del usuario); por esta razn es un paso primordial
el establecer normativas y estndares que permitan obtener una base de manejo seguro de todo lo
relacionado con la infraestructura de comunicacin de Sistem Contact - Center.

El presente documento busca establecer el por qu?, el qu? y el cmo? proteger la informacin
que fluye a travs del sistema de comunicaciones de Sistem Contact - Center, agrupando todas las
normas y polticas relacionadas con este fin, tomndose en cuenta todos los niveles de Seguridad del
Instituto Colombiano de Normas Tcnicas y Certificacin , ICONTEC y las normativas de control
interno como el MECI 1000 y de calidad como la NTCGP 1000 apoyado por

estndares

internacionales (COSO, IS09001 respectivamente).

El sentar bases y normas de uso y seguridad informticas dentro de Sistem Contact - Center respecto a
la manipulacin y uso de aplicaciones y equipos computacionales permitir optimizar los procesos
informticos y elevar el nivel de seguridad de los mismos .

JSistem
.
OBJETIV O GENERAL

Brindar la informacin necesaria a los usuarios de la Empresa, sobre las normas y mecanismos que
deben cumplir y utilizar para proteger el hardware, el software y la Red de Sistem Contact Center, as
como la informacin que es procesada en y almacenadas en estos.

OBJETIVOS ESPECFIC OS

Elaborar un manual de polticas de seguridad informtica para el personal de Sistem Contact Center aptado a las necesidades y activos tecnolgicos de la Empresa, as como a la naturaleza de la
informacin que se maneja en el mismo.

Utilizar un lenguaje claro de establecimiento de polticas y estndares de seguridad para la f cil

aplicacin de las mismas por parte del personal del Sistem Contact - Center

Establecer niveles de seguridad en base al esquema normativo de

Seguridad

del

Instituto

Colombiano de Normas Tcnicas y Certificacin, ICONTEC y las normativas de control interno

como el MECI 1000 y de calidad como la NTCG P 1000 apoyado por estndares internacionales
(COSO, IS09001 respectivamente)

VIGENCIA
El documento presentado entrar en vigor desde el momento en que ste sea aprobado como documento
tcnico de seguridad informtica por la Junta directiva de Sistem Contact - Center

ALCANCE
El presente manual describe todas las normas, polticas y estndares que se aplicarn de manera
obligatoria de parte del personal de Sistem Contact Center, respecto a seguridad informtica para
precautelar un correcto uso de equipos de cmputo y aplicaciones tecnolgicas .

JSistem.

El mbito de aplicacin del manual de normas y polticas de seguridad informtica, es la infraestructura

tecnolgica y entorno informtico de la red empresarial.

En ente que garantizar la ejecucin y puesta en marcha de la normatividad y polticas de seguridad, es un

comit de Seguridad, conformado por el Departamento de Sistemas de de la Empresa y la Junta Directiva ,
siendo el responsable de la supervisin y cumplimiento del rgano Interno de Control.

SANCIONES

Las sanciones a aplicarse al personal que incumpla las normas descritas en este manual (que asumir
todas las consecuencias producidas por este incumplimiento) queda n bajo el criterio de las autoridades
de Sistem Contact - Center

BENEFICIOS

El cum plimiento del presente manual de seguridad informtica har posible un mejor mantenimiento de
los bienes activos de la infraestructura tecnolgica de Sistem Contact - Center, as como un manejo
ms confiable de toda la informacin de la Empresa

GLOSARIO

Activo: Es el conjunto de los bienes y derechos ta ngibles e intangibles de propiedad de una persona
natural o jurdica que por lo general son generadores de renta o fuente de beneficios , en el ambiente
informtico llmese activo a los bienes de informacin y procesamiento , que posee la Empresa. Recurso
del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione
correctamente y alcance los objetivos propuestos .

Remota: Forma de administrar los equipos informticos o servicios de Sistem Contat Center, a travs de
terminales o equipos remotos, fsicamente separados de la Empresa .

Amenaza: Es un evento que puede desencadenar un incidente en la organizacin, produciendo daos

materiales o prdidas inmateriales en sus activos.

JSistem.

Arrhivo Log: Ficheros de registro o bitcoras de sistemas, en los que se recoge o anota los pasos que dan
(lo que hace un usuario , como transcurre una conexin , horarios de conexin , terminales o IP's
involucradas en el proceso , etc.)

Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema .

Confidencialidad: Proteger la informacin de su revelacin no autorizada . Esto significa que la

informacin debe estar protegida de ser copiada por cualquiera que no est explcitamente autorizado por
el propietario de dicha informacin .

Cuenta: Mecanismo de identificacin de un usuario , llmese de otra ma nera , al mtodo de acreditacin o

autenticacin del usuario mediante procesos lgicos dentro de un sistema informtico.

Desastre o Contingencia: interrupcin de la capacidad de acceso a informacin y procesamiento de la

misma a travs de computadoras necesarias para la operacin normal de un negocio.

Soporte Tcnico: (Personal en Outsourcing) : Personal designado o encargado de velar por el correcto
funcionamiento de las estaciones de trabajo , servidores, o equipo de oficina dentro de la Empresa .

Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo, en un Dominio o en toda

la Organizacin .

Terceros: Empresas, proveedores de software, convenios educativos que tengan anexos con la Empresa .

Usuario: Definase a cualquier persona jurdica o natural , que utilice los servicios informticos de la red
Empresarial y tenga una especie de vinculacin laboral con la Em presa.

Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una amenaza sobre un Activo

JSistem.

1. SEGURIDAD ORGANIZACI ONAL

1.1 POLITICAS GENERALES DE SEGURIDAD
Art. l. Los servicios de la red de la Empresa son de exclusivo uso para el personal que trabaja en
dentro de ella cualquier cambio en la normativa de uso de los mismos, ser expresa y adecuada
como poltica de seguridad en este documento.

Art. 2. Sistem Contact - Center nombrar un comit de seguridad, que de seguimiento al

cumplimiento de la normativa y propicie el entorno necesario para crear un Sistema de Gestin de
Seguridad Informtica (SGSI) el cual tendr entre sus funciones:

Velar por la seguridad de los activos informticos

Gestin y procesamiento de informacin .

Cumplimiento de polticas

Aplicacin de sanciones.

Elaboracin de pla nes de seguridad .

Capacitacin de usuarios en temas de seguridad.

Gestionar y coordinar esfuerzos, por crear un plan de contingencia , que d sustento o

solucin, a problemas de seguridad dentro de la Empresa .

El mismo orientar y guiar a los empleados, la forma o mtodos necesarios para salir
avante ante cualquier eventualidad que se presente

Informar sobre problemas de seguridad a Gerencia de la Empresa

Poner especial atencin a los usuarios de la red Empresarial sobre sugerencias o quejas
con respecto al funcionamiento de los activos de informacin

El comit de seguridad estar integrado por los siguientes miembros:

1. Gerencia

2. Gestor de Seguridad (Asesores Externo)

3. Director De Tecnologa y Telecomunicaciones
4. Data Marshall

JSistem.
Art. 3. El administrador de cada unidad organizativa dentro de la red empresarial es el nico
responsable de las actividades procedentes de sus acciones.

Art. 4. El administrador de sistemas es el encargado de mantener en buen estado los servidores dentro
de la red Empresarial.

Art. 5. Todo usuario de la red de Sistem Contact - Center, gozar de absoluta privacidad sobre su
informacin, o la informacin que provenga de sus acciones, salvo en casos, en que se vea
involucrado en actos ilcitos o contraproducentes para la seguridad de la red Empresarial, sus servicios
o cualquier otra red ajena a la Empresa

Art. 6. Los usuarios tendr n el acceso a Internet, siempre y cuando se cumpla n los requisitos mnimos
de seguridad para acceder a este servicio y se acaten las disposiciones de conectividad de la unidad de
informtica.

Art. 7. Las actividades de los Asesore en los centros de cmputo, tienen la primera prioridad, por lo
que a cualquier usuario utilizando otro servicio (por ejemplo Internet o "Chat")sin estos fines, se le
podr solicitar dejar libre la estacin de trabajo, si as, fuera necesario. Esto es importante para
satisfacer la demanda de estaciones en horas pico o el uso de estaciones con software especializado

1.2 EXCEPCIONES DE RESPONSABILIDAD

Art. l. Los usuarios que por disposicin de sus superiores realicen acciones que perjudiquen a otros
usuarios o la informacin que estos procesan, y si estos no cuentan con un contrato de confidencialidad y
proteccin de la informacin de la Empresa o sus allegados

Art. 2. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir algunas de las polticas
enumeradas en este documento, debido a la responsabilidad de su cargo, o a situaciones no programadas .
Estas excepciones debern ser solicitadas formalmente y aprobadas por el comit de seguridad, con la
documentacin necesaria para el caso, siendo la gerencia quien d por sentada su aprobacin final

JSistem.

1.3. CLASIFICACIN Y CONTROL DE ACTIVOS

RESPONSABILIDAD POR LOS ACTIV OS
Art. l. Cada departamento , tendr un responsable por el/los activo/s crtico/s o de mayor importancia
para la Empresa .
Art. 2. La persona responsable de los activos de cada unidad organizativa o rea de trabajo , velar por la
salvaguarda de los activos fsicos (hardware y medios magnticos, aires acondicionados, mobiliario .),
activos de informacin (Bases de Datos, Archivos, Documentacin

de

sistemas,

Procedimientos

Operativos configuraciones) , activos de software (aplicaciones, software de sistemas, herramientas

progra mas de desarrollo)

Art. 3. Los administradores de los sistemas son los responsables de la seguridad de la informacin
almacenada en esos recursos

CLASIFICACI N DE LA INFORMACIN
Art. 1. De forma individual, los departamentos de Sistem Contact - Center, son responsables, de clasificar
de acuerdo al nivel de importancia, la informacin que en ella se procese .

Art. 2. Se tomarn como base, los siguientes criterios, como niveles de importancia, para clasificar la
informacin:
a) Pblica
b) Interna
c) Confidencial

Art. 3. Los activos de informacin de mayor importancia para la Empresa debern clasificarse por su
nivel de exposicin o vulnerabilidad

JSistem.

1.4. SEGURIDAD LIGADA AL PERSONAL

REFERENTE A CONTRATOS:
Art. l. Se entregar al contratado, toda la documentacin necesaria para ejercer sus labores dentro de la
Empresa, en el momento en que se d por establecido su contrato laboral .

EL EMPLEAD O:
Art. l. La informacin procesada , manipulada o almacenada por el empleado es propiedad exclusiva de
Sistem Contact - Center.

Art. 2. Sistem Contact - Center no se hace responsable por daos causados provenientes de sus
empleados a la informacin o activos de procesamiento, propiedad de la Empresa, daos efectuados desde
sus instalaciones de red a equipos informticos externos

CAPACITACION DE USUARIOS:
Art. l. Los usuarios de la red, sern capacitados en cuestiones de seguridad de la informacin, segn sea
el rea operativa y en funcin de las actividades que se desarrollan

Art. 2. Se deben tomar todas las medidas de seguridad necesarias, antes de realizar una capacitacin a
personal ajeno o propio de la Empresa, siempre y cuando se vea implicada la utilizacin de los servicios
de red o se exponga material de importancia considerable para la Empresa

1.5. RESPUESTAS A INCIDENTES Y ANOMALAS DE SEGURIDAD:

Art. l. Se realizar n respaldos de la informacin, diariamente, para los activos de mayor importa ncia o
crticos, un respaldo semanal que se utilizar encaso de fallas y un tercer respaldo efectuado
mensualmente, el cual deber ser guardado y evitar su utilizacin a menos que sea estrictamente
necesaria.

JSistem.

2. SEGURIDAD LEGAL

2.l CUMPLIMIENTO DE REQUISITUS LEGALES

LICENCIAMIENT O DE SOFTWARE :

Art. 1. Sistem Contact - Center, se reserva el derecho de respaldo, a cualquier miembro de la Empresa,

ante cualquier asunto legal relacionado a infracciones a las leyes de copyright o piratera de software.

Art. 2. Todo el software comercial que utilice Sistem Contact Center, deber estar legalmente registrado,

en los contratos de arrendamiento de software con sus respectivas licencias.

Art. 3. La adquisicin de software por parte de personal que labore en la Empresa, no expresa el

consentimiento de la Empresa, la instalacin del mismo, no garantiza responsabilidad alguna para Sistem
Contact - Center, por ende la Empresa no se hace responsable de las actividades de sus empleados.

Art. 4. Tanto el software comercial como el software libre son propiedad intelectual exclusiva de sus

desarrolladores, Sistem Contact - Center, respeta la propiedad intelectual y se rige por el contrato de
licencia de sus autores.

Art. 5. El software comercial licenciado a Sistem Contact - Center, es propiedad exclusiva de la Empresa,

la misma se reserva el derecho de reproduccin de ste, sin el permiso de sus autores, respeta ndo el
esquema de cero piratera y/o distribucin a terceros.

Art. 6. En caso de transferencia de software comercial a terceros, se harn las gestiones necesarias para

su efecto y se acatara n las medidas de licenciamiento relacionadas con la propiedad intelectual .

Art. 7. Las responsabilidades inherentes al licenciamiento de software libre son responsabilidad absoluta

de Sistem Contact Center

Art. 3. Cualquier accin que amerite la ejecucin de una auditoria a los sistemas informticos deber ser

documentada y establecida su aplicabilidad y objetivos de la misma, as como razones para su ejecucin,

personal involucrada en la misma y sistemas implicados .

JSistem
.
Art. 4. La auditoria no deber modificar en ningn momento el sistema de archivos de los sistemas
implicados , en caso de haber necesidad de modificar algunos, se deber hacer un respaldo formal del
sistema o sus archivos.

Art. 5. Las herramientas utilizadas para la auditoria deber n estar separadas de los sistemas de
produccin y en ningn momento estas se quedaran al alcance de personal ajeno a la elaboracin de
la auditoria
3

SEGURIDAD LOGISTICA

3.1 CONTR OL DE ACCESOS

Art. l. El Gestor de Seguridad proporcionar toda la documentacin necesaria para agilizar la

utilizacin de los sistemas, referente a formularios , guas, controles , otros .

Art. 2. Cualquier peticin de informacin, servicio o accin proveniente de un determinado usuario o

departamento, se deber efectuar siguiendo los canales de gestin formalmente establecidos por la
Empresa , para realizar dicha accin; no dar seguimiento a esta poltica implica:

a. Negar por completo la ejecucin de la accin o servicio

b. Informe completo dirigido a comit de seguridad, mismo ser realizado por la persona o el
departa mento al cual le es solicitado el servicio.

c. Sanciones aplicables por autoridades de nivel superior, previan1ente discutidas con el comit de
seguridad

3.2 ADMINISTRACI N DEL ACCESO DE USUARI OS

Art. l. Son usuarios de la red el personal , administrativos , secretarias, Asesores , Supervisores,
Coordinadores y toda aquella persona , que tenga contacto directo como empleado y utilice los servicios
de la red de Sistem Contact Center.

Art. 2. Se asignar una cuenta de acceso a los sistemas de la intranet, a todo usuario de la red, siempre y
cuando se identifique previamente el objetivo de su uso o permisos explcitos a los que este acceder ,

junto a la informacin personal del usuario .

JSistem.

Art. 3. Los Asesores, son usuarios limitados, estos tendrn acceso nicamente a los servicios de Internet
y recursos compartidos de la red, cualquier cambio sobre los servicios a los que estos tengan acceso, ser
motivo de revisin y modificacin de esta poltica, adecundose a las nuevas especificaciones.

Art. 4. Se consideran usuarios externos o terceros, cualquier entidad o persona na tural, que tenga una
relacin con la Empresa fuera del mbito de empleador/empleado y siempre que tenga una vinculacin
con los servicios de la red .

.A

rt. 5. El acceso a la red por parte de terceros es estrictamente restrictivo y permisible

nicamente mediante firma impresa y documentacin de aceptacin de confidencialidad hacia la

Empresa y com prometido con el uso exclusivo del servicio para el que le fue provisto el acceso.

Art. 6. No se proporcionar el servicio solicitado por un usuario, departamento, sin antes haberse
completado todos los procedimientos de autorizacin necesarios para su ejecucin .

Art. 7. Se crear una cuenta temporal del usuario, en caso de olvido o extravo de informacin de la
cuenta personal, para brindarse al usuario que lo necesite , siempre y cuando se muestre un documento de
identidad personal .

Art. 8. La longitud mnima de caracteres permisibles en una contrasea se establece en 6 caracteres, los
cuales tendrn una combinacin alfanumrica, incluida en estos caracteres especiales.

Art. 9. La longitud mxima de caracteres permisibles en una contrasea se establece en 12 caracteres,

siendo esta una combinacin de Maysculas y minsculas

RESPONSABILIDADES DEL USUARIO

Art. l. El usuario es responsable exclusivo de mantener a salvo su contrasea.

Art. 2. El usuario ser responsable del uso que haga de su cuenta de acceso a los sistemas o servicios.

JSistem
.
Art. 3. Se debe evitar el guardar o escribir las contraseas en cualquier papel o superficie o

dejar

constancia de ellas, a menos que sta se guardada en un lugar seguro.

Art. 4. El usuario es responsable de eliminar cualquier rastro de documentos proporcionados por el

Gestor de Seguridad, q ue contenga informacin que pueda facilitar a un tercero la obtencin de la
informacin de su cuenta de usuario .

Art. 5. El usuario es responsable de evitar la prctica de establecer contraseas relacionadas con alguna
caracterstica de su persona o relacionado con su vida o la de parientes , como fechas de cumplea os o
alguna otra fecha importante.

Art. 6. El usuario deber proteger su equipo de trabajo, evitando que personas ajenas a su cargo puedan
acceder a la informacin almacenada en el, mediante una herramienta de bloqueo temporal (protector de
pantalla), protegida por una contrasea, el cual deber activarse en el preciso momento en que el usuario
deba ausentarse

NORMATIVA DEL USO DE CORREO ELECTRNICO:

Art. l. El servicio de correo electrnico, es un servicio gratuito, y no garantizable, se debe hacer uso de
l, acatando todas las disposiciones de seguridad diseadas para su utilizacin y evitar el uso o
introduccin de software malicioso a la red de la Empresa.

Art. 2. El correo electrnico es de uso exclusivo, para los empleados de Sistem Contact -

Center y

accionistas de la misma.

Art. 3. Todo uso indebido del servicio de correo electrnico, ser m otivo de suspensin temporal de su
cuenta de correo o segn sea necesario la eliminacin total de la cuenta dentro del sistema.

Art. 4. El usuario ser responsable de la informacin que sea enviada con su cuenta.

Art. 5. El comit de seguridad, se reservar el derecho de monitorear las cuentas de usuarios, que
presenten un comportamiento sospechoso para la seguridad de la red de la Empresa.

JSistem.

Art. 6. El usuario es responsable de respetar la ley de derechos de autor, no abusando de este medio para

distribuir de forma ilegal licencias de software o reproducir informacin sin conocimiento del autor.

USO ACEPTABLES DE LOS SERVICIOS DE INTERNET.

Al utilizar cualquiera de los servicios de Internet suministrados por o a travs de la red de Sistem Contact
- Center, incluyendo sin limitacin alguna, acceso al internet, correo electrnico, reas de charla, canales
de compras; el trmino "Contenido(s)" significa cualquiera o todas las informaciones, datos, materiales,
textos, imgenes, videos, audios, y programas de computacin suministrados por la red .; y el trmino
"Usuario(s)" significa cualquier persona

que aceza o utiliza cualquier Servicio o Contenido,

independientemente si dicha persona tiene o no una cuenta con Sistem Contact-Center usted acepta y
acuerda estar legalmente obligado y cumplir
(colectivamente

denominados

con los siguientes trminos y condiciones de uso

"Poltica

de

Uso"):

a. Reconocer que al utilizar este Servicio, usted podra estar expuesto a Contenidos ofensivos,
indecentes u objetables .
h. Aceptar que bajo ninguna circunstancia Sistemcc.com ser responsable , de forma alguna, del
Contenido, incluyendo sin limitacin alguna, ningn error u omisin, prdida o dao de ningn
tipo que incurra como resultado de su exposicin a, uso de, o fiabilidad sobre el Contenido.

c. Tanto el acceso al sitio web de la empresa, como el uso que pueda hacerse de la informacin y
contenidos incluidos en la misma o accesibles desde ella, ser de la exclusiva responsabilidad de
quien lo realice, sin que la empresa pueda tener responsabilidad alguna por dichos usos.

d. El uso de la Internet en el trabajo - como otras herramientas - se encuentra autorizado solo para
manejar negocios de la empresa. El acceso por Internet a sitios no autorizados da la posibilidad de
crear brechas de seguridad y confidencialidad de valiosos datos de la empresa.

Otro

efecto

colateral es la prdida de velocidad de acceso de banda de conexin con la que paga y opera la
empresa

JSistem.

e. No podr Coleccionar, almacenar, divulgar, transmitir o solicitar cualquier material, informacin,

mensaje o comunicacin que pueda infringir o violar cualquier patente, derechos de autor, marcas,
secretos empresariales o cualquier otro derecho intelectual de otra persona.

f. No podr coleccionar, almacenar, divulgar, transmitir, o solicitar informacin personal a nios

menores de 13 aos.
g. No podr coleccionar, divulgar, transmitir o solicitar programas de computacin dainos, virus,
cdigos, expedientes o programas;

h.

Falsificar informacin del Usuario;

1. Hacer of ertas fraudulentas de compra o venta, as como tambin, conducir cualquier tipo de fraude
financiero, tales como "Cartas en Cadena" o "Las Pirmides";

j. Enviar correo electrnico solicitando donaciones caritativas, peticiones de firmas o

cualquier

material relacionado;

k. Enviar correo electrnico no solicitado que, a la sola discrecin de Sistemcc.com, pueda provocar
quejas;

l. Transmitir, divulgar o distribuir correo electrnico no solicitado, a cualquier persona;

m. Enviar correo electrnico no solicitado sin la identificacin clara y fcil sobre la forma de ser
excluido de la lista de futuros correos electrnicos de quien lo origino.

n. Falsificar encabezados de correos electrnicos, utilizar nombres de dominio que sean invlidos o
inexistentes, u otras formas engaosas de enviar correo electrnico.

o. Transmitir correo electrnico en forma annima, retra nsmitir correo electrnico a servidores de
correos de terceras partes sin el permiso correspondiente, o utilizar tcnicas similares con el
propsito de esconder o camuflar la fuente del correo electrnico;

p. Agregar, remover, o modificar encabezados de redes con informacin personal, con el propsito
de engaar o defraudar;

JSistem.
q. Personificar o intentar personificar a otra persona a travs de la utilizacin de encabezados

falsificados u otra informacin personal

r. Hacer o intentar hacer, cualquier cosa que afecte desfavorablemente la habilidad de utilizar el
servicio de intemet por otros Usuarios , incluyendo sin limitacin alguna , "negacin de servicios"
ataques contra otros sistemas o contra el anfitrin de redes u otros Usuarios.
s. Sobrecargar, inundar, atacar o de otra forma sabotear o interferir con nuestro sistema y/o redes, a
travs del envo de correos electrnicos o piratera de intemet ;
t. Hacer o intentar hacer, sin permiso del dueo o del anfitrin del sistema o de la red, cualquiera de

los siguientes actos: acezar el sistema o red, monitorear datos o trfico, sondear, copiar, probar
"firewalls ", atentar contra la vulnerabilidad del sistema o redes, o violar las medidas de seguridad
o las rutinas de autenticacin del sistema o de la red.
u. Revender o intentar revender , cualquiera de los Servicios sin la autorizacin de Sistem Contact -

Center;

v. Involucrarse en cualquiera de las actividades mencionadas utilizando los servicios de otros

proveedores , pero canalizando dichas actividades a travs de la cuenta de Sistem Contact Center.com, o utilizando la cuenta de Sistemcc.com para recibir las respuestas o solicitudes , o
utilizar los servicios de otro proveedor , con el propsito de

facilitar cualquiera

de

las

anteriormente mencionas actividades en caso de que la Empresa determine razonablemente que

dicha utilizacin pueda afecta r en forma adversa los Servicios de la red

w. utilizar cualquier Servicio para violar la poltica de uso y/o tnninos de uso aceptable de otro
proveedor de servicios de intemet

Cualquier violacin a estas polticas puede resultar en responsabilidad u obligacin de carcter civil o
criminal , y Sistem Contact - Center podr conjuntamente con cualquier otra solucin que pueda tener en
la ley o en la equidad , inmediatamente cancelar el permiso al Usuario o, a todos los Usuarios si lo
considerase necesario, de utilizar el Servicio. Sistem Contact - Center se reserva el derecho de eliminar o

JSistem
.
Trasladar materiales, informaciones, mensajes o comunicaciones

que, a la sola discrecin

de

Sistemcc.com, puedan ser ilegales, o que puedan obligar a la empresa, o que puedan violar esta poltica.
La violacin de esta Poltica de Uso por cualquier persona que solo tenga acceso indirecto a los servicios
a travs de un suscriptor o miembro de los servicios ser considerada una violacin por el suscriptor o
miembro,

con

sin

el

conocimiento

consentimiento

del

subscriptor

miembro.

Sistem Contact - Center, podr investigar cualquier sospecha o alegato sobre la violacin de esta poltica
y cooperar con la aplicacin de las leyes, autoridades y/o terceras partes, en las investigaciones
correspondientes

3.3 CONTROL DE ACCESO A LA RED

Art. l. El acceso a la red interna, se permitir siempre y cuando se cumpla con los requisitos de
seguridad necesarios, y ste ser permitido mediante un mecanismo de autenticacin.

Art. 2. Se debe eliminar cualquier acceso a la red sin previa autenticacin o validacin del usuario o el
equipo implicado en el proceso.

Art. 3. Cualquier alteracin del trfico entrante o saliente a travs de los dispositivos de acceso a la red,
ser motivo de verificacin y tendr como resultado directo la realizacin de una auditoria de seguridad.

Art. 4. El departamento de Sistemas deber emplear dispositivos de red para el bloqueo , enrutamiento, o
el filtrado de trfico evita ndo el acceso o flujo de informacin, no autorizada hacia la red interna o desde
la red interna hacia el exterior.

Art. 5. Los accesos a la red interna o local desde una red externa de la Empresa o extranet, se harn
mediante un mecanismo de autenticacin seguro y el trafico entre ambas redes o sistemas ser cifrado con
una encriptacin de 128 bit.
Art. 6. Se registrara todo acceso a los dispositivos de red, mediante archivos de registro o Lag, de los
dispositivos que provean estos accesos.

JSistem
.
Art. 7. Se efectuara Wla revisin de Lag de los dispositivos de acceso a la red en Wl tiempo mximo de 48
horas

3.3 CONTROL DE ACCESO A LAS APLICACIONE S

Art. 1. Las aplicaciones debern estar correctamente diseadas, con funciones de acceso especificas para
cada usuario del entorno operativo de la aplicacin .

Art. 2. Se deber definir y estructurar el nivel de permisos sobre las aplicaciones , de acuerdo al nivel de
ejecucin o criticidad de las aplicaciones o archivos , y haciendo especial nfasis en los derechos de
escritura, lectura , modificacin, ejecucin o borrado de informacin.

Art. 3. Se debern efectuar revisiones o pruebas minuciosas sobre las aplicaciones , de forma aleatoria ,
sobre distintas fases, antes de ponerlas en Wl entorno operativo real, con el objetivo de evitar
redWldancias en las salidas de informacin u otras anomalas .

Art. 4. Las salidas de informacin , de las aplicaciones, en un entorno de red, debern ser documentadas , y
especificar la terminal por la que deber ejecutarse exclusivamente la salida de informacin.

Art. 5. Se deber llevar Wl registro mediante Lag de aplicaciones, sobre las actividades de los usuarios en
cuanto a accesos, errores de conexin , horas de conexin , intentos fallidos, terminal desde dond e conecta,
entre otros, de manera que proporcionen informacin relevante y revisable posteriormente.

3.4 CONTROL DE ACCESO AL SISTEMA OPERATIVO

Art. l. Se deshabilitarn las cuentas creadas por ciertas aplicaciones con privilegios de sistema, (cuentas
del servidor de aplicaciones, cuentas de herramientas de auditora , etc.) evitando que estas corran sus
servicios con privilegios nocivos para la seguridad del sistema .

Art. 2. Al terminar una sesin de trabajo en las estaciones, los operadores o cualquier otro usuario, evitara
dejar encendido el equipo, pudiendo proporcionar Wl entorno de utilizacin de la estacin de trabajo
Servidores

JSistem.
Art. 3. El acceso a la configuracin del sistema operativo de los servidores, es nicamente permitido al
usuario administrador.

Art. 4. Los administradores de servicios, tendrn acceso nico a los mdulos de configuracin de las
respectivas aplicaciones que tienen bajo su responsabilidad

Art. 5. Todo servicio provisto o instalado en los servidores, correr o ser ejecutado bajo cuentas
restrictivas, en

ningn

momento

se obviaran

situaciones

de servicios corriendo

con

cuentas

administrativas , estos privilegios tendrn que ser eliminados o configurados correctamente

3.5 MONITOREO DEL ACCESO Y USO DEL SISTEMA

Art. l. Se registrar y ardvar toda actividad, procedente del uso de las aplicaciones, sistemas de
informacin y uso de la red , mediante archlvos de Log o bitcoras de sistemas.

Art. 2. Los archlvos de Log, almacenarn nombres de usuarios , nivel de privilegios , IP de terminal, fecha
y hora de acceso o utilizacin , actividad desarrollada, aplicacin implicada en el proceso , intentos de
conexin fallidos o acertados , archlvos a los que se tuvo acceso, entre otros.

Art. 3. Se efectuar una copia automtica de los archlvos de Log, y se conducir o enviara hacia otra
terminal o servidor, evitando se guarde la copia localmente donde se produce .

3.6 RESPONSABILIDADES Y PROCEDIMIENTOS OPERATIVOS

Art. l. El personal administrador de algn servicio, es el responsable absoluto por mantener en ptimo
funcionamiento ese servicio, coordinar esfuerzos con el gestor de seguridad, para fomentar una cultura de
administracin segura y servicios ptimos.

Art. 2. Las configuraciones y puesta en marcha de servicios, son normadas por el departamento de
Sistemas, y el comit de seguridad .

Art. 3. El personal responsable de los servicios, llevar ardvos de registro de fallas de seguridad del
sistema, revisara , estos ardvos de forma frecuente y en especial despus de ocurrida una falla.

-
\

- JSistem
.
<O

T AC T

c r

MANUAL DE POLITICAS Y NORMAS DE SEGURIDAD INFORMAT ICA

T[

......... c;i,,......,........ :."''

!. 1....

SISTEM CONTACT - CENTER

3.7 PLANIFICACIN Y ACEPTACI N DE SISTEMAS

Art. l. La unidad de sistemas, o personal de la misma dedicado o asignado en el rea de programacin o
planificacin y desarrollo de sistemas, efectuar todo el proceso propio de la planificacin , desarrollo,
adquisicin , comparacin y adaptacin del software necesario para Sistem Contact - Center.

Art. 2. La aceptacin del software se har efectiva por la Gerencia de Empresa , previo anlisis y pruebas
efectuadas por el personal de sistemas.

Art. 3. nicamente se utilizar software certificado o en su defecto software previamente revisado y

aprobado, por personal calificado en el rea de seguridad.

Art. 4. La aceptacin y uso de los sistemas no exonera, de responsabilidad alguna sobre el gestor de
seguridad, para efectuar pruebas o diagnsticos a la seguridad de los mismos.

Art. 5. El software diseado localmente o llmese de otra manera desarrolladas por programadores
internos , debern ser analizados y aprobados, por el gestor de seguridad, antes de su implementacin.

Art. 6. Es tarea de programadores el realizar pruebas de validacin de entradas, en cuanto a:

Valares fuera de rango.

Caracteres invlidos, en los campos de datos .

Datos incompletos.

Datos con longitud excedente o valor fuera de rango .

Datos no autorizados o inconsistentes .

Procedimientos operativos de validacin de errores

Procedimientos operativos para validacin de caracteres.

Procedimientos operativos para validacin de la integridad de los datos.

Procedimientos operativos para validacin e integridad de las salidas

Art. 7 Toda prueba de las aplicaciones o sistemas, se deber hacer teniendo en cuenta las medidas de
proteccin de los archivos de produccin reales.

JSistem
.
Art. 8. Cualquier prueba sobre los sistemas, del mbito a la que esta se refiera deber ser documentada y
cualquier documento o archivo que haya sido necesario para su ejecucin deber ser borrado de los
dispositivos fsicos, mediante tratamiento electrnico

3.9 PROTECCIN CONTRA SOFI'WARE MALICIOSO

Art. l. Se adquirir y utilizar software nicamente de fuentes confiables.

Art. 2. En caso de ser necesaria la adquisicin de software de fuentes no confiables, este se adquirir en
cdigo fuente

Art. 3. Los servidores, al igual que las estaciones de trabajo, tendr n instalado y configurado
correctamente software antivirus actualizable y activada la proteccin en tiempo real.

3.10. MANIENIMIENTODE SIS'IEMASY EQUIPOS DE CMPUI'O

Art. l. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del

personal de la unidad de informtica, o del personal de soporte tcnico.

Art. 2. El cambio de archivos de sistema, no es permitido , sin una justificacin aceptable y verificable por
el gestor de seguridad.

Art. 3. Se llevar un registro global del mantenimiento efectuado sobre los equipos y cambios realizados
desde su instalacin

3.lL SEGURIDAD ENEL MANEJO DELOS MEDIOSDE AIMACENAMIENfO

Art. l. Los medios de almacenamiento o copias de seguridad del sistema de archivos , o informacin de la
Empresa, sern etiquetados de acuerdo a la informacin que almacenan u objetivo que suponga su uso,
detallando o haciendo alusin a su contenido .

Art. 2. Los medios de almacenamiento con informacin crtica o copias de respaldo debern ser
ma nipulados nica y exclusivamente por el personal encargado de hacer los respaldos y el personal
encargado de su salvaguarda .

JSistem.

Art. 3. Todo medio de almacenamiento con informacin crtica ser guardado bajo llave en una caja
especial a la cual tendr acceso nicamente, el gestor de seguridad o la gerencia administrativa, esta caja
no debera ser removible, una segunda copia ser resguardada por un tercero, entidad financiera o afn

Art. 4. Se llevar un control, en el que se especifiquen los medios de almacenamiento en los que se debe
guardar informacin y su uso.

4. SEGURIDAD FSICA Y AMBIENTAL

Los meca nismos de control de acceso fsico pa ra el personal y terceros deben permitir el acceso a las
instalaciones y reas restringidas de la Coordinacin General Administrativa slo a personas
autorizadas para la salvaguarda de los equipos de cmputo y de comunicaciones.

4.1 SEGURIDAD DE LOS EQUIPOS

Art. l. El cableado de red, se instalar fsicamente separado de cualquier otro tipo de cables, llmese a
estos de corriente o energa elctrica, para evitar interferencias .

Art. 2. Los servidores, sin importar al grupo al que estos pertenezcan, con problemas de hardware,
debern ser reparados localmente, de no cumplirse lo anterior, debern ser retirados sus medios de
almacenamiento .

Art. 3. Los equipos o activos crticos de informacin y proceso, debern ubicarse en reas aisladas y
seguras, protegidas con un nivel de seguridad verificable y ma nejable por el gestor de seguridad y las
personas responsables por esos activos, quienes debern poseer su debida identificacin

Art. 4. Los usuari os no deben mover o reubicar los equipos de cmputo o de telecomunicaciones, instalar
o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorizacin del rea de Sistemas y
Calidad, en caso de requerir este servicio deber solicitarlo .

Art.5. El rea de Inventarios ser la encargada de generar el resguardo y recabar la firma del usuario
informtico como responsable de los activos inf ormticos que se le asignen y de conservarlos en la
ubicacin autorizada por el Sistemas y Tcnica

JSistem.

Art. 6. Ser responsabilidad del usuario solicitar la capacitacin necesaria para el manejo de las
herramientas informticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para
aprovechar al mximo las mismas

Art. 7. Es responsabilidad de los usuarios almacenar su informacin nicamente en la Ruta que la

empresa indique, ya que las otras estn destinadas para archivos de programa y sistema operativo

Art. 8. Mientras se opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos.

Art. 9. Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilacin del monitor o
del CPU

Art. 10. Se debe mantener el equipo informtico en un entorno limpio y sin humedad.

Art. 11. El usuario debe asegurarse que los cables de conexin no sean pisados o pinchados al colocar
otros objetos encima o contra ellos en caso de que no se cumpla solicitar un reacomodo de cables con el
personal de Sistemas y Calidad

Art. 12. Cuando se requiera realizar cambios mltiples del equipo de cmputo derivado de reubicacin de
lugares fsicos de trabajo, stos debern ser notificados con una semana de anticipacin al rea de
Sistemas y Calidad a travs de un plan detallado.

Art. 13. Queda prohibid o que el usuario abra o desarme los equipos de cm puto 3.5 Mantenimient o de
equipo

Art. 14 nicamente el personal autorizado por el rea de Sistemas y Calidad podr llevar a cabo los
servicios y reparaciones al equipo informtico .
Art. 15. Los usuarios debern asegurarse de respaldar en el servidor la informacin que consideren
releva nte cuando el equipo sea enviado a reparacin y borrar aquella informacin sensible que se
encuentre en el equipo, previendo as la prdida involuntaria de informacin, derivada del proceso de
reparacin.

JSistem.

Art. 13. El usuario que tenga bajo su resguardo algn equipo de cmputo, ser responsable de su uso y
custodia; en consecuencia, responder por dicho bien de acuerdo a la normatividad vigente en los casos
de robo, extravo o prdida del mismo .

4.2 CONTROLES GENERALES

Art. l. Las estaciones o terminales de trabajo, con procesamientos crticos no deben de contar con medios
de almacenamientos extrafbles, que pueda n facilitar el robo o ma nipulacin de la informacin por terceros
o personal que no deba tener acceso a esta informacin

Art. 2. En ningn momento se deber dejar informacin sensible de robo, manipulacin o acceso visual,
sin importar el medio en el que esta se encuentre , de forma que pueda ser alcanzada por terceros o
personas que no deban tener acceso a esta informacin .

Art. 3. Deber llevarse un control exhaustivo del ma ntenimiento preventivo y otro para el mantenimiento
correctivo que se les haga a los equipos

Art. 4. Toda oficina o rea de trabajo debe poseer entre sus inventarios, herramientas auxiliares
(extintores, alarmas contra incendios, lmpara de emergencia), necesarias para salvaguardar los recursos
tecnolgicos y la informacin.

Art. 5. Toda visita a las oficinas de tratamiento de datos crticos e informacin (unidad de Sistemas, sala
de servidores entre otros) deber ser registrada mediante el formulario de accesos a las salas de
procesamiento crtico, para posteriores anlisis del mismo.

Art. 6. La sala o cuarto de servidores, deber estar separada de las oficinas administrativas de la unidad
de Sistemas o cualquier otra unidad , departamento o sala de recepcin del personal, mediante una divisin
en la unidad de Sistemas, recubierta de material aislante o protegido contra el fuego, Esta sala deber ser
utilizada nicamente por las estaciones prestadoras de servicios y/o dispositivos a fines

Art. 7. El suministro de energa elctrica debe hacerse a travs de un circuito exclusivo para los equipos
de cmputo, o en su defecto el circuito que se utilice no debe tener conectados equipos que demanda n
grandes cantidades de energa.

JSistem.

Art. 8. El suministro de energa elctrica debe estar debidamente polarizado, no siendo conveniente la
utilizacin de polarizaciones locales de tomas de corriente, sino que debe existir una red de polarizacin.

Art. 9. Las instalaciones de las reas de trabajo deben contar con una adecuada instalacin elctrica, y
proveer del suministro de energa mediante una estacin de alimentacin ininterrumpida o UPS para
poder proteger la informacin .

Art. 10. Las salas o instalaciones fsicas de procesamiento de informacin debern poseer informacin en
carteles, sobre accesos, alimentos o cualquier otra actividad contraria a la seguridad de la misma o de la
informacin que ah se procesa

4.3 SEGURIDAD EN ACCESO DE TERCEROS

Art. l. El acceso de terceros ser concedido siempre y cuando se cumplan con los requisitos de seguridad
establecidos en el contrato de trabajo o asociacin para el servicio, el cual deber estar firmado por las
entidades involucradas en el mismo .

Art. 2. Todo usuario externo, estar facultado a utilizar nica y exclusivamente el servicio que le fue
asignado, y acatar las responsabilidades que devengan de la utilizacin del mismo.

Art. 3. Los servicios accedidos por terceros acataran las disposiciones generales de acceso a servicios por
el personal interno de Sistem Contact - Center, adems de los requisitos expuestos en su contrato con la
Empresa .

5, RECOMENDACIO NES

Crear un Sistema de Gestin de Seguridad de la Informacin , que supervise y normalice , toda

actividad relacionada con la seguridad informtica .

Aprobar y poner en marcha el manual de polticas y normas de seguridad informtica .

Actualizar de forma constante, transparente y de acuerdo a las necesidades existentes al momento,

el ma nual de normas y polticas de seguridad informtica.

JSistem.

Asignar presupuesto para la gestin de seguridad de la informacin , independiente de la unidad de

informtica.

Asignar personal al rea de seguridad de la informacin.

Crear un comit de seguridad de la informacin

Involucrar ta nto personal tcnico, como directivos de la Empresa, o a la alta gerencia en temas de
seguridad .

Fija r objetivos pa ra la salvaguarda de la informacin .

Concienciar los usuarios, en temas de seguridad, hacerles sentirse responsables y parte de la

Empresa.

Dar seguimiento a estndares internacionales sobre temas de seguridad de la informacin .

Realizar pruebas de intrusin, locales y externas por personal de la Empresa , de forma peridica

Contratar los servicios de terceros (Hacking tico), para ejecutar pruebas completas de intrusin a
los sistemas de la red Empresarial .

Capacitar los empleados de la Empresa , en temas de seguridad, adoptando un estricto control de

las tcnicas ms comunes de persuasin de personal (Ingeniera Social).

El departamento de recursos humanos, deber constatar, una clara y eficiente informacin sobre el
individu o en proceso de reclutamiento, referente a problemas o situaciones anmalas con otras
empresas o en el menor de los casos una solvencia judicial .

JSistem.

6.1 PLAN ESTRATEGIC O DE IMPLEMENTACI ON

6.2 DESCRIPCIN DE PUESTOS Y PERFILES
6.2.1 UNIDAD DE SISTEMAS
Corresponde a la unidad de Sistemas de Sistem Contact Center, la supervisin y verificacin de las redes
y los dispositivos de comunicacin de la Empresa , con especial atencin a la compatibilidad de equipos y
condiciones de seguridad de las instalaciones, as como el cumplimiento de la normativa tcnica sobre
verificaciones de los equipos que en cada caso sea aplicable. Es responsabilidad del Departamento de
Sistemas, la orga nizacin y puesta en marcha de las comunicaciones informticas necesarias dentro de las
instalaciones de Sistem Contact Center, as como de las comunicaciones que sta realice con terceros .

Corresponde a ste departamento mantener informadas a las Autoridades de Sistem Contact Center y al
resto de los usuarios de los avances tecnolgicos que se vayan produciendo en el rea de Sistemas
(hardware, software, material de informtica , etc.). Haciendo efecto de las responsabilidades antes
descritas, se establecer una normativa reguladora de los servicios de comunicacin informtica dentro de
las instalaciones fsicas de Sistem Contact - Center, y de las que sta realice con terceros .

Dicha norma tiva deber referirse en todo caso a:

a) La definicin del servicio o servicios prestados .

b) El nivel de prestacin .
c) Los derechos y deberes de los usuarios
d) Las gara ntas tcnicas y jur dicas del servicio.
Las normas generales de Seguridad Informtica , de Sistem Contact - Center, podr n condicionar el acceso
a prestaciones de la red en funcin de los niveles de compatibilidad y seguridad que se establezcan

JSistem.

6.2.2 PERFIL GESTOR DE SEGURIDAD

Corresponde al Gestor de Seguridad, gestionar ante la gerencia y la unidad de Sistemas, una correcta
aplicabilidad de las normas y polticas establecidas para salvaguardar los activos de informacin de la
Empresa , as como de establecer los parmetros necesarios para el mantenimiento adecuado del Sistema
de Gestin de Seguridad de la Informacin , desarrollando una serie de medidas estratgicas que propicien
un alto nivel de seguridad en la infraestructura tecnolgica de Sistem Con tact - Center, aceptable para los
fines y objetivos empresariales . El Gestor de Seguridad , podr constituir en el momento que crea
conveniente , comisiones tcnicas de apoyo y asesoramiento, formadas por expertos en el rea de
seguridad informtica ; dichas comisiones sern siempre temporales
OBJETIVOS QUE DEBE CUMPLIR

Definir la misin de seguridad informtica de la Empresa en conjunto con la gerencia .

Aplicar una metodologa de anlisis de riesgo para evaluar la seguridad informtica en la Empresa

Definir la poltica de seguridad informtica de la Empresa

Definir los procedimientos para aplicar la Poltica de seguridad informtica .

Seleccionar los mecanismos y herramientas adecuados que permitan aplicar las polticas dentro de
la misin establecida

Crear un grupo de respuesta a incidentes de seguridad, para atender los problemas relacionados a
la seguridad informtica dentro de la Empresa

Promover la aplicacin de auditoras enfocadas a la seguridad, para evaluar las prcticas de

seguridad informtica dentro de la Empresa .

Crear y vigilar los lineamientos necesarios que coadyuven a tener los servicios de seguridad en la
Em presa

JSistem.

Crear un comit de seguridad informtica en la empresa

FORMACION PROFESIONAL
Licenciatura o Ingeniera en el rea de Sistemas.
Conocimientos
Conocimientos y Experiencia mnima

Conocimientos y Experiencias Deseables

Sistemas Operativos (Windows, Linux)

Sistemas operativos (Windows, Linux)

Pilas de TC/IP

Protocolos de seguridad (IPSec)

Protocolos de comunicacin (RPC, TCP, UDP)

Herramientas de Seguridad(Scanner, Firewalls,

IDS)

Lenguajes de Programacin

Programacin de Protocolos (TCP, UDP)

Conocimientos de Redes

Conocimientos Criptogrficos
Mecanismos

de Seguridad

(Firmas

Certificados, Claves)

HABILIDADES PERSONALES

Atencin focalizada, que se mantenga por largos periodos de tiempo .

Concentracin de la atencin .

Pensamiento , capacidad de reflexin , de anlisis y de sntesis .

Habilidad para pensar creativamente .

Habilidad para la toma de decisiones .

Pensamiento flexible.

Habilidad para organizar informacin en la memoria de corto y de largo plazo

digitales,

JSistem.

Habilidad para expresar claramente sus ideas.

Habilidad para comunicarse con personas no expertas y expertas en el rea .

Habilidad para el trabajo independiente y autnomo .

Habilidad para relacionarse con otros y para pedir ayuda cuando sea necesario

Habilidad para trabajar en equipos reales y virtuales.

Habilidad para prever y solucionar conflictos .

Persona con conocimientos de experto en el rea de informtica .

Establecimiento de prioridades y toma de decisiones .

Habilidad para organizar el trabajo y las decisiones .

Planeacin, Empresa y comunicacin.

Iniciativa .

Capacidad para detectar, aislar y resolver problemas

DEBERES Y RESPONSABILIDADES

El Gestor de Seguridad tiene como principal responsabilidad la administracin y coordinacin

diaria del proceso de Seguridad Informtica de la Empresa .

Tiene como responsabilidad

Informtica de la Empresa .

asegurar el buen funcionamiento del proceso de

seguridad

JSistem.

Debe ser el punto de referencia para todos los procesos de seguridad y ser capaz de guiar y
aconsejar a los usuarios de la Empresa sobre cmo desarrollar procedimientos para la proteccin
de los recursos .

Una tarea clave para el Gestor de Seguridad, es guiar al cuerpo directivo y a la administracin de
la Empresa ante incidentes de seguridad mediante un Plan de Respuesta a Incidentes, con el fin de
atender rpidamente este tipo de eventualidades

El Gestor de Seguridad, es responsable de proponer y coordinar la realizacin de un anlisis de

riesgos formal en seguridad de la informacin que abarque toda la Empresa.

Es deber del Gestor de Seguridad, el desarrollo de procedimientos de seguridad detallados que

fortalezca n la poltica de seguridad informtica Empresarial .

El Gestor de Seguridad, debe ser miembro activo del comit de seguridad, y mantener contacto
con los Gestores de Seguridad de otras organizaciones, estar suscrito a listas de discusin y de
avisos de seguridad.

Es responsabilidad del Gestor de Seguridad, promover la creacin y actualizacin de las polticas

de seguridad informtica, debido al comportamiento cambiante de la tecnologa que trae consigo
nuevos riesgos yamenazas.

Es responsabilidad del Gestor de Seguridad el desarrollo de un Plan de Seguridad de la

Informacin.

El Gestor de Seguridad debe atender y responder inmediatamente las notificaciones de sospecha

de un incidente de seguridad o de incidentes reales.

El Gestor de Seguridad debe establecer la misin y metas internas en cuanto a la seguridad de la

informacin, de acuerdo a la misin y metas organizacionales.

JSistem.

El Gestor de Seguridad ser responsable de ma ntener relaciones interpersonales , con otros

oficiales de seguridad, con el objetivo de ampliar sus conocimientos y aplicar soluciones a
problemas de seguridad del entorno Empresarial

Es responsable de mantenerse al da de las actualizaciones y nuevas vulnerabilidades encontradas

en el software de la Empresa .

ste a su vez, coordinar con los responsables de los activos de los diferentes departamentos de la
Em presa, brindando los medios necesarios para asegurar la disponibilidad ,

integridad y

confidencialidad de la informacin , previamente clasificada por los responsables De los activos

RESPONSABLE DE LOS ACTIV OS

Corresponde a los responsables de los activos, mantener un adecuado control sobre los recursos asignados
a su departamento u oficina, clasificar cada activo segn la importancia que ste tenga para los procesos
desarrollados dentro del departamento o rea que tenga bajo su administracin o cargo. Coordinar sus
esfuerzos con el Gestor de Seguridad, brindando la informacin necesaria y relevante , con el objetivo de
lograr mantener una mejor y ms adecuada administracin de los recursos y la Red Empresarial