Professional Documents
Culture Documents
- JSistem
.
<O
T AC T
c r
T[
!. 1....
NDICE
IN'IRODUCCION
INTERPRETACIN
JUSTIFICACION
OBJETIVO GENERAL
OBJETIVO ESPECIFICO
VIGENCIA
ALCANCE
SANCIONES
BENEFICIOS
GLOSARIO
l. SEGURIDAD ORGANIZACIONAL
Y CO TROL DE ACTIVOS
DE LA INFORMACI
A USUARIOS
Fecha: Julio
JSistem
.
3. SEGURIDAD LOGSTICA
3.1 CONTROLES DE ACCESO A USUARIOS DE LA RED SISTEM CO TAC CE TER
3.2 ADMINISTRACI
SISTEM CO TACT
RESPO
Y ACEPTACIO
DE SISTEMA
3.10
3.11
SEGURIDAD E
DE PUESTOS Y PERFILES
JSistem.
INTRODUCC ION
La base para que cualquier organizacin pueda operar de forma confiable en materia de seguridad
informtica , comienza con la definicin de las polticas .
La seguridad informtica es una funcin en la que se debe evaluar y administrar los riesgos basndose en
las polticas que cubra n las necesidades de Sistem Contact - Center en materia de seguridad .
El siguiente documento fue elaborado de manera sencilla para que sea interpretado
por
cualquier
trabajador de Sistem Contact - Center, independientemente de su nivel informativo, pretende ser el medio
de comunicacin en el cual se establecen las reglas , normas y controles que regulen la forma en que la
empresa, prevenga , proteja y maneje los riesgos de seguridad en diversas circunstancias .
La aplicacin de las normas expuestas en el presente documento se han ideado de forma que su
cumplimiento pueda efectuarse de la manera ms simple y evitando interferir con las funciones de los
trabajadores , sin embargo en ningn momento pretenden ser normas absolutas , las mismas estn sujetas a
cambios realizables en cualquier momento , siempre y cuando se tenga presente los objetivos
de
seguridad .
Los recursos de la empresa estn disponibles para fortalecer el flujo de informacin en materia
de
Sistemas y Telecomunicaciones , as como el servir de apoyo en las diferentes tareas encomendadas para
el mejoramiento de nuestras labores. Por lo tanto el personal deber enmarcar sus esfuerzos para que
todas las normas y polticas concernientes a su entorno de trabajo y utilizacin de recursos informticos
se cumpla n a cabalidad .
Toda persona que utilice los servicios que ofrece la red de la Empresa , deber conocer y aceptar todo lo
establecido en este documento sobre su uso, el desconocimiento del mismo,
no
exonera
de
En trminos generales este documento engloba los procedimientos adecuados que seden tener en Materia
de Seguridad Organizacional , Seguridad Legal, Seguridad Fsica, Seguridad Logstica .
JSistem.
INTERPRETACI ON
Los niveles de seguridad fueron organizados constatando un enfoque objetivo de la situacin real de la
Empresa , desarrollando cada poltica con sumo cuidado sobre que activo proteger , de que protegerlo ,
como protegerlo y por que protegerlo . Los mismos se organizan siguiendo el esquema normativo de
seguridad del Instituto Colombiano de Normas Tcnicas y Certificacin , ICONTEC y las normativas de
control interno como el MECI 1000 y de calidad como la NTCGP 1000 apoyado por estndares
internacionales (COSO, IS09001 respectivamente) y que a continuacin se representa.
Clasificacin de la informacin
JSistem.
JUSTIFICACIN
El presente documento busca establecer el por qu?, el qu? y el cmo? proteger la informacin
que fluye a travs del sistema de comunicaciones de Sistem Contact - Center, agrupando todas las
normas y polticas relacionadas con este fin, tomndose en cuenta todos los niveles de Seguridad del
Instituto Colombiano de Normas Tcnicas y Certificacin , ICONTEC y las normativas de control
interno como el MECI 1000 y de calidad como la NTCGP 1000 apoyado por
estndares
El sentar bases y normas de uso y seguridad informticas dentro de Sistem Contact - Center respecto a
la manipulacin y uso de aplicaciones y equipos computacionales permitir optimizar los procesos
informticos y elevar el nivel de seguridad de los mismos .
JSistem
.
OBJETIV O GENERAL
Brindar la informacin necesaria a los usuarios de la Empresa, sobre las normas y mecanismos que
deben cumplir y utilizar para proteger el hardware, el software y la Red de Sistem Contact Center, as
como la informacin que es procesada en y almacenadas en estos.
OBJETIVOS ESPECFIC OS
Elaborar un manual de polticas de seguridad informtica para el personal de Sistem Contact Center aptado a las necesidades y activos tecnolgicos de la Empresa, as como a la naturaleza de la
informacin que se maneja en el mismo.
Seguridad
del
Instituto
VIGENCIA
El documento presentado entrar en vigor desde el momento en que ste sea aprobado como documento
tcnico de seguridad informtica por la Junta directiva de Sistem Contact - Center
ALCANCE
El presente manual describe todas las normas, polticas y estndares que se aplicarn de manera
obligatoria de parte del personal de Sistem Contact Center, respecto a seguridad informtica para
precautelar un correcto uso de equipos de cmputo y aplicaciones tecnolgicas .
JSistem.
SANCIONES
Las sanciones a aplicarse al personal que incumpla las normas descritas en este manual (que asumir
todas las consecuencias producidas por este incumplimiento) queda n bajo el criterio de las autoridades
de Sistem Contact - Center
BENEFICIOS
El cum plimiento del presente manual de seguridad informtica har posible un mejor mantenimiento de
los bienes activos de la infraestructura tecnolgica de Sistem Contact - Center, as como un manejo
ms confiable de toda la informacin de la Empresa
GLOSARIO
Activo: Es el conjunto de los bienes y derechos ta ngibles e intangibles de propiedad de una persona
natural o jurdica que por lo general son generadores de renta o fuente de beneficios , en el ambiente
informtico llmese activo a los bienes de informacin y procesamiento , que posee la Empresa. Recurso
del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione
correctamente y alcance los objetivos propuestos .
Remota: Forma de administrar los equipos informticos o servicios de Sistem Contat Center, a travs de
terminales o equipos remotos, fsicamente separados de la Empresa .
JSistem.
Arrhivo Log: Ficheros de registro o bitcoras de sistemas, en los que se recoge o anota los pasos que dan
(lo que hace un usuario , como transcurre una conexin , horarios de conexin , terminales o IP's
involucradas en el proceso , etc.)
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema .
Soporte Tcnico: (Personal en Outsourcing) : Personal designado o encargado de velar por el correcto
funcionamiento de las estaciones de trabajo , servidores, o equipo de oficina dentro de la Empresa .
Terceros: Empresas, proveedores de software, convenios educativos que tengan anexos con la Empresa .
Usuario: Definase a cualquier persona jurdica o natural , que utilice los servicios informticos de la red
Empresarial y tenga una especie de vinculacin laboral con la Em presa.
JSistem.
Cumplimiento de polticas
Aplicacin de sanciones.
El mismo orientar y guiar a los empleados, la forma o mtodos necesarios para salir
avante ante cualquier eventualidad que se presente
Poner especial atencin a los usuarios de la red Empresarial sobre sugerencias o quejas
con respecto al funcionamiento de los activos de informacin
1. Gerencia
JSistem.
Art. 3. El administrador de cada unidad organizativa dentro de la red empresarial es el nico
responsable de las actividades procedentes de sus acciones.
Art. 4. El administrador de sistemas es el encargado de mantener en buen estado los servidores dentro
de la red Empresarial.
Art. 5. Todo usuario de la red de Sistem Contact - Center, gozar de absoluta privacidad sobre su
informacin, o la informacin que provenga de sus acciones, salvo en casos, en que se vea
involucrado en actos ilcitos o contraproducentes para la seguridad de la red Empresarial, sus servicios
o cualquier otra red ajena a la Empresa
Art. 6. Los usuarios tendr n el acceso a Internet, siempre y cuando se cumpla n los requisitos mnimos
de seguridad para acceder a este servicio y se acaten las disposiciones de conectividad de la unidad de
informtica.
Art. 7. Las actividades de los Asesore en los centros de cmputo, tienen la primera prioridad, por lo
que a cualquier usuario utilizando otro servicio (por ejemplo Internet o "Chat")sin estos fines, se le
podr solicitar dejar libre la estacin de trabajo, si as, fuera necesario. Esto es importante para
satisfacer la demanda de estaciones en horas pico o el uso de estaciones con software especializado
Art. 2. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir algunas de las polticas
enumeradas en este documento, debido a la responsabilidad de su cargo, o a situaciones no programadas .
Estas excepciones debern ser solicitadas formalmente y aprobadas por el comit de seguridad, con la
documentacin necesaria para el caso, siendo la gerencia quien d por sentada su aprobacin final
JSistem.
de
sistemas,
Procedimientos
Art. 3. Los administradores de los sistemas son los responsables de la seguridad de la informacin
almacenada en esos recursos
CLASIFICACI N DE LA INFORMACIN
Art. 1. De forma individual, los departamentos de Sistem Contact - Center, son responsables, de clasificar
de acuerdo al nivel de importancia, la informacin que en ella se procese .
Art. 2. Se tomarn como base, los siguientes criterios, como niveles de importancia, para clasificar la
informacin:
a) Pblica
b) Interna
c) Confidencial
Art. 3. Los activos de informacin de mayor importancia para la Empresa debern clasificarse por su
nivel de exposicin o vulnerabilidad
JSistem.
EL EMPLEAD O:
Art. l. La informacin procesada , manipulada o almacenada por el empleado es propiedad exclusiva de
Sistem Contact - Center.
Art. 2. Sistem Contact - Center no se hace responsable por daos causados provenientes de sus
empleados a la informacin o activos de procesamiento, propiedad de la Empresa, daos efectuados desde
sus instalaciones de red a equipos informticos externos
CAPACITACION DE USUARIOS:
Art. l. Los usuarios de la red, sern capacitados en cuestiones de seguridad de la informacin, segn sea
el rea operativa y en funcin de las actividades que se desarrollan
Art. 2. Se deben tomar todas las medidas de seguridad necesarias, antes de realizar una capacitacin a
personal ajeno o propio de la Empresa, siempre y cuando se vea implicada la utilizacin de los servicios
de red o se exponga material de importancia considerable para la Empresa
JSistem.
2. SEGURIDAD LEGAL
Art. 1. Sistem Contact - Center, se reserva el derecho de respaldo, a cualquier miembro de la Empresa,
ante cualquier asunto legal relacionado a infracciones a las leyes de copyright o piratera de software.
Art. 2. Todo el software comercial que utilice Sistem Contact Center, deber estar legalmente registrado,
Art. 3. La adquisicin de software por parte de personal que labore en la Empresa, no expresa el
consentimiento de la Empresa, la instalacin del mismo, no garantiza responsabilidad alguna para Sistem
Contact - Center, por ende la Empresa no se hace responsable de las actividades de sus empleados.
Art. 4. Tanto el software comercial como el software libre son propiedad intelectual exclusiva de sus
desarrolladores, Sistem Contact - Center, respeta la propiedad intelectual y se rige por el contrato de
licencia de sus autores.
Art. 5. El software comercial licenciado a Sistem Contact - Center, es propiedad exclusiva de la Empresa,
la misma se reserva el derecho de reproduccin de ste, sin el permiso de sus autores, respeta ndo el
esquema de cero piratera y/o distribucin a terceros.
Art. 6. En caso de transferencia de software comercial a terceros, se harn las gestiones necesarias para
Art. 7. Las responsabilidades inherentes al licenciamiento de software libre son responsabilidad absoluta
JSistem
.
Art. 4. La auditoria no deber modificar en ningn momento el sistema de archivos de los sistemas
implicados , en caso de haber necesidad de modificar algunos, se deber hacer un respaldo formal del
sistema o sus archivos.
Art. 5. Las herramientas utilizadas para la auditoria deber n estar separadas de los sistemas de
produccin y en ningn momento estas se quedaran al alcance de personal ajeno a la elaboracin de
la auditoria
3
SEGURIDAD LOGISTICA
c. Sanciones aplicables por autoridades de nivel superior, previan1ente discutidas con el comit de
seguridad
Art. 2. Se asignar una cuenta de acceso a los sistemas de la intranet, a todo usuario de la red, siempre y
cuando se identifique previamente el objetivo de su uso o permisos explcitos a los que este acceder ,
JSistem.
Art. 3. Los Asesores, son usuarios limitados, estos tendrn acceso nicamente a los servicios de Internet
y recursos compartidos de la red, cualquier cambio sobre los servicios a los que estos tengan acceso, ser
motivo de revisin y modificacin de esta poltica, adecundose a las nuevas especificaciones.
Art. 4. Se consideran usuarios externos o terceros, cualquier entidad o persona na tural, que tenga una
relacin con la Empresa fuera del mbito de empleador/empleado y siempre que tenga una vinculacin
con los servicios de la red .
.A
Art. 6. No se proporcionar el servicio solicitado por un usuario, departamento, sin antes haberse
completado todos los procedimientos de autorizacin necesarios para su ejecucin .
Art. 7. Se crear una cuenta temporal del usuario, en caso de olvido o extravo de informacin de la
cuenta personal, para brindarse al usuario que lo necesite , siempre y cuando se muestre un documento de
identidad personal .
Art. 8. La longitud mnima de caracteres permisibles en una contrasea se establece en 6 caracteres, los
cuales tendrn una combinacin alfanumrica, incluida en estos caracteres especiales.
Art. 2. El usuario ser responsable del uso que haga de su cuenta de acceso a los sistemas o servicios.
JSistem
.
Art. 3. Se debe evitar el guardar o escribir las contraseas en cualquier papel o superficie o
dejar
Art. 5. El usuario es responsable de evitar la prctica de establecer contraseas relacionadas con alguna
caracterstica de su persona o relacionado con su vida o la de parientes , como fechas de cumplea os o
alguna otra fecha importante.
Art. 6. El usuario deber proteger su equipo de trabajo, evitando que personas ajenas a su cargo puedan
acceder a la informacin almacenada en el, mediante una herramienta de bloqueo temporal (protector de
pantalla), protegida por una contrasea, el cual deber activarse en el preciso momento en que el usuario
deba ausentarse
Art. 2. El correo electrnico es de uso exclusivo, para los empleados de Sistem Contact -
Center y
accionistas de la misma.
Art. 3. Todo uso indebido del servicio de correo electrnico, ser m otivo de suspensin temporal de su
cuenta de correo o segn sea necesario la eliminacin total de la cuenta dentro del sistema.
Art. 4. El usuario ser responsable de la informacin que sea enviada con su cuenta.
Art. 5. El comit de seguridad, se reservar el derecho de monitorear las cuentas de usuarios, que
presenten un comportamiento sospechoso para la seguridad de la red de la Empresa.
JSistem.
Art. 6. El usuario es responsable de respetar la ley de derechos de autor, no abusando de este medio para
distribuir de forma ilegal licencias de software o reproducir informacin sin conocimiento del autor.
Al utilizar cualquiera de los servicios de Internet suministrados por o a travs de la red de Sistem Contact
- Center, incluyendo sin limitacin alguna, acceso al internet, correo electrnico, reas de charla, canales
de compras; el trmino "Contenido(s)" significa cualquiera o todas las informaciones, datos, materiales,
textos, imgenes, videos, audios, y programas de computacin suministrados por la red .; y el trmino
"Usuario(s)" significa cualquier persona
independientemente si dicha persona tiene o no una cuenta con Sistem Contact-Center usted acepta y
acuerda estar legalmente obligado y cumplir
(colectivamente
denominados
de
Uso"):
a. Reconocer que al utilizar este Servicio, usted podra estar expuesto a Contenidos ofensivos,
indecentes u objetables .
h. Aceptar que bajo ninguna circunstancia Sistemcc.com ser responsable , de forma alguna, del
Contenido, incluyendo sin limitacin alguna, ningn error u omisin, prdida o dao de ningn
tipo que incurra como resultado de su exposicin a, uso de, o fiabilidad sobre el Contenido.
c. Tanto el acceso al sitio web de la empresa, como el uso que pueda hacerse de la informacin y
contenidos incluidos en la misma o accesibles desde ella, ser de la exclusiva responsabilidad de
quien lo realice, sin que la empresa pueda tener responsabilidad alguna por dichos usos.
d. El uso de la Internet en el trabajo - como otras herramientas - se encuentra autorizado solo para
manejar negocios de la empresa. El acceso por Internet a sitios no autorizados da la posibilidad de
crear brechas de seguridad y confidencialidad de valiosos datos de la empresa.
Otro
efecto
colateral es la prdida de velocidad de acceso de banda de conexin con la que paga y opera la
empresa
JSistem.
h.
1. Hacer of ertas fraudulentas de compra o venta, as como tambin, conducir cualquier tipo de fraude
financiero, tales como "Cartas en Cadena" o "Las Pirmides";
cualquier
material relacionado;
k. Enviar correo electrnico no solicitado que, a la sola discrecin de Sistemcc.com, pueda provocar
quejas;
m. Enviar correo electrnico no solicitado sin la identificacin clara y fcil sobre la forma de ser
excluido de la lista de futuros correos electrnicos de quien lo origino.
n. Falsificar encabezados de correos electrnicos, utilizar nombres de dominio que sean invlidos o
inexistentes, u otras formas engaosas de enviar correo electrnico.
o. Transmitir correo electrnico en forma annima, retra nsmitir correo electrnico a servidores de
correos de terceras partes sin el permiso correspondiente, o utilizar tcnicas similares con el
propsito de esconder o camuflar la fuente del correo electrnico;
p. Agregar, remover, o modificar encabezados de redes con informacin personal, con el propsito
de engaar o defraudar;
JSistem.
q. Personificar o intentar personificar a otra persona a travs de la utilizacin de encabezados
r. Hacer o intentar hacer, cualquier cosa que afecte desfavorablemente la habilidad de utilizar el
servicio de intemet por otros Usuarios , incluyendo sin limitacin alguna , "negacin de servicios"
ataques contra otros sistemas o contra el anfitrin de redes u otros Usuarios.
s. Sobrecargar, inundar, atacar o de otra forma sabotear o interferir con nuestro sistema y/o redes, a
travs del envo de correos electrnicos o piratera de intemet ;
t. Hacer o intentar hacer, sin permiso del dueo o del anfitrin del sistema o de la red, cualquiera de
los siguientes actos: acezar el sistema o red, monitorear datos o trfico, sondear, copiar, probar
"firewalls ", atentar contra la vulnerabilidad del sistema o redes, o violar las medidas de seguridad
o las rutinas de autenticacin del sistema o de la red.
u. Revender o intentar revender , cualquiera de los Servicios sin la autorizacin de Sistem Contact -
Center;
facilitar cualquiera
de
las
w. utilizar cualquier Servicio para violar la poltica de uso y/o tnninos de uso aceptable de otro
proveedor de servicios de intemet
Cualquier violacin a estas polticas puede resultar en responsabilidad u obligacin de carcter civil o
criminal , y Sistem Contact - Center podr conjuntamente con cualquier otra solucin que pueda tener en
la ley o en la equidad , inmediatamente cancelar el permiso al Usuario o, a todos los Usuarios si lo
considerase necesario, de utilizar el Servicio. Sistem Contact - Center se reserva el derecho de eliminar o
JSistem
.
Trasladar materiales, informaciones, mensajes o comunicaciones
de
Sistemcc.com, puedan ser ilegales, o que puedan obligar a la empresa, o que puedan violar esta poltica.
La violacin de esta Poltica de Uso por cualquier persona que solo tenga acceso indirecto a los servicios
a travs de un suscriptor o miembro de los servicios ser considerada una violacin por el suscriptor o
miembro,
con
sin
el
conocimiento
consentimiento
del
subscriptor
miembro.
Sistem Contact - Center, podr investigar cualquier sospecha o alegato sobre la violacin de esta poltica
y cooperar con la aplicacin de las leyes, autoridades y/o terceras partes, en las investigaciones
correspondientes
Art. 2. Se debe eliminar cualquier acceso a la red sin previa autenticacin o validacin del usuario o el
equipo implicado en el proceso.
Art. 3. Cualquier alteracin del trfico entrante o saliente a travs de los dispositivos de acceso a la red,
ser motivo de verificacin y tendr como resultado directo la realizacin de una auditoria de seguridad.
Art. 4. El departamento de Sistemas deber emplear dispositivos de red para el bloqueo , enrutamiento, o
el filtrado de trfico evita ndo el acceso o flujo de informacin, no autorizada hacia la red interna o desde
la red interna hacia el exterior.
Art. 5. Los accesos a la red interna o local desde una red externa de la Empresa o extranet, se harn
mediante un mecanismo de autenticacin seguro y el trafico entre ambas redes o sistemas ser cifrado con
una encriptacin de 128 bit.
Art. 6. Se registrara todo acceso a los dispositivos de red, mediante archivos de registro o Lag, de los
dispositivos que provean estos accesos.
JSistem
.
Art. 7. Se efectuara Wla revisin de Lag de los dispositivos de acceso a la red en Wl tiempo mximo de 48
horas
Art. 2. Se deber definir y estructurar el nivel de permisos sobre las aplicaciones , de acuerdo al nivel de
ejecucin o criticidad de las aplicaciones o archivos , y haciendo especial nfasis en los derechos de
escritura, lectura , modificacin, ejecucin o borrado de informacin.
Art. 3. Se debern efectuar revisiones o pruebas minuciosas sobre las aplicaciones , de forma aleatoria ,
sobre distintas fases, antes de ponerlas en Wl entorno operativo real, con el objetivo de evitar
redWldancias en las salidas de informacin u otras anomalas .
Art. 4. Las salidas de informacin , de las aplicaciones, en un entorno de red, debern ser documentadas , y
especificar la terminal por la que deber ejecutarse exclusivamente la salida de informacin.
Art. 5. Se deber llevar Wl registro mediante Lag de aplicaciones, sobre las actividades de los usuarios en
cuanto a accesos, errores de conexin , horas de conexin , intentos fallidos, terminal desde dond e conecta,
entre otros, de manera que proporcionen informacin relevante y revisable posteriormente.
Art. 2. Al terminar una sesin de trabajo en las estaciones, los operadores o cualquier otro usuario, evitara
dejar encendido el equipo, pudiendo proporcionar Wl entorno de utilizacin de la estacin de trabajo
Servidores
JSistem.
Art. 3. El acceso a la configuracin del sistema operativo de los servidores, es nicamente permitido al
usuario administrador.
Art. 4. Los administradores de servicios, tendrn acceso nico a los mdulos de configuracin de las
respectivas aplicaciones que tienen bajo su responsabilidad
Art. 5. Todo servicio provisto o instalado en los servidores, correr o ser ejecutado bajo cuentas
restrictivas, en
ningn
momento
se obviaran
situaciones
de servicios corriendo
con
cuentas
Art. 2. Los archlvos de Log, almacenarn nombres de usuarios , nivel de privilegios , IP de terminal, fecha
y hora de acceso o utilizacin , actividad desarrollada, aplicacin implicada en el proceso , intentos de
conexin fallidos o acertados , archlvos a los que se tuvo acceso, entre otros.
Art. 3. Se efectuar una copia automtica de los archlvos de Log, y se conducir o enviara hacia otra
terminal o servidor, evitando se guarde la copia localmente donde se produce .
Art. 2. Las configuraciones y puesta en marcha de servicios, son normadas por el departamento de
Sistemas, y el comit de seguridad .
Art. 3. El personal responsable de los servicios, llevar ardvos de registro de fallas de seguridad del
sistema, revisara , estos ardvos de forma frecuente y en especial despus de ocurrida una falla.
-
\
- JSistem
.
<O
T AC T
c r
T[
!. 1....
Art. 2. La aceptacin del software se har efectiva por la Gerencia de Empresa , previo anlisis y pruebas
efectuadas por el personal de sistemas.
Art. 4. La aceptacin y uso de los sistemas no exonera, de responsabilidad alguna sobre el gestor de
seguridad, para efectuar pruebas o diagnsticos a la seguridad de los mismos.
Art. 5. El software diseado localmente o llmese de otra manera desarrolladas por programadores
internos , debern ser analizados y aprobados, por el gestor de seguridad, antes de su implementacin.
Datos incompletos.
Art. 7 Toda prueba de las aplicaciones o sistemas, se deber hacer teniendo en cuenta las medidas de
proteccin de los archivos de produccin reales.
JSistem
.
Art. 8. Cualquier prueba sobre los sistemas, del mbito a la que esta se refiera deber ser documentada y
cualquier documento o archivo que haya sido necesario para su ejecucin deber ser borrado de los
dispositivos fsicos, mediante tratamiento electrnico
Art. 2. En caso de ser necesaria la adquisicin de software de fuentes no confiables, este se adquirir en
cdigo fuente
Art. 3. Los servidores, al igual que las estaciones de trabajo, tendr n instalado y configurado
correctamente software antivirus actualizable y activada la proteccin en tiempo real.
Art. 2. El cambio de archivos de sistema, no es permitido , sin una justificacin aceptable y verificable por
el gestor de seguridad.
Art. 3. Se llevar un registro global del mantenimiento efectuado sobre los equipos y cambios realizados
desde su instalacin
Art. l. Los medios de almacenamiento o copias de seguridad del sistema de archivos , o informacin de la
Empresa, sern etiquetados de acuerdo a la informacin que almacenan u objetivo que suponga su uso,
detallando o haciendo alusin a su contenido .
Art. 2. Los medios de almacenamiento con informacin crtica o copias de respaldo debern ser
ma nipulados nica y exclusivamente por el personal encargado de hacer los respaldos y el personal
encargado de su salvaguarda .
JSistem.
Art. 3. Todo medio de almacenamiento con informacin crtica ser guardado bajo llave en una caja
especial a la cual tendr acceso nicamente, el gestor de seguridad o la gerencia administrativa, esta caja
no debera ser removible, una segunda copia ser resguardada por un tercero, entidad financiera o afn
Art. 4. Se llevar un control, en el que se especifiquen los medios de almacenamiento en los que se debe
guardar informacin y su uso.
Art. 2. Los servidores, sin importar al grupo al que estos pertenezcan, con problemas de hardware,
debern ser reparados localmente, de no cumplirse lo anterior, debern ser retirados sus medios de
almacenamiento .
Art. 3. Los equipos o activos crticos de informacin y proceso, debern ubicarse en reas aisladas y
seguras, protegidas con un nivel de seguridad verificable y ma nejable por el gestor de seguridad y las
personas responsables por esos activos, quienes debern poseer su debida identificacin
Art. 4. Los usuari os no deben mover o reubicar los equipos de cmputo o de telecomunicaciones, instalar
o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorizacin del rea de Sistemas y
Calidad, en caso de requerir este servicio deber solicitarlo .
Art.5. El rea de Inventarios ser la encargada de generar el resguardo y recabar la firma del usuario
informtico como responsable de los activos inf ormticos que se le asignen y de conservarlos en la
ubicacin autorizada por el Sistemas y Tcnica
JSistem.
Art. 6. Ser responsabilidad del usuario solicitar la capacitacin necesaria para el manejo de las
herramientas informticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para
aprovechar al mximo las mismas
Art. 8. Mientras se opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos.
Art. 9. Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilacin del monitor o
del CPU
Art. 10. Se debe mantener el equipo informtico en un entorno limpio y sin humedad.
Art. 11. El usuario debe asegurarse que los cables de conexin no sean pisados o pinchados al colocar
otros objetos encima o contra ellos en caso de que no se cumpla solicitar un reacomodo de cables con el
personal de Sistemas y Calidad
Art. 12. Cuando se requiera realizar cambios mltiples del equipo de cmputo derivado de reubicacin de
lugares fsicos de trabajo, stos debern ser notificados con una semana de anticipacin al rea de
Sistemas y Calidad a travs de un plan detallado.
Art. 13. Queda prohibid o que el usuario abra o desarme los equipos de cm puto 3.5 Mantenimient o de
equipo
Art. 14 nicamente el personal autorizado por el rea de Sistemas y Calidad podr llevar a cabo los
servicios y reparaciones al equipo informtico .
Art. 15. Los usuarios debern asegurarse de respaldar en el servidor la informacin que consideren
releva nte cuando el equipo sea enviado a reparacin y borrar aquella informacin sensible que se
encuentre en el equipo, previendo as la prdida involuntaria de informacin, derivada del proceso de
reparacin.
JSistem.
Art. 13. El usuario que tenga bajo su resguardo algn equipo de cmputo, ser responsable de su uso y
custodia; en consecuencia, responder por dicho bien de acuerdo a la normatividad vigente en los casos
de robo, extravo o prdida del mismo .
Art. 2. En ningn momento se deber dejar informacin sensible de robo, manipulacin o acceso visual,
sin importar el medio en el que esta se encuentre , de forma que pueda ser alcanzada por terceros o
personas que no deban tener acceso a esta informacin .
Art. 3. Deber llevarse un control exhaustivo del ma ntenimiento preventivo y otro para el mantenimiento
correctivo que se les haga a los equipos
Art. 4. Toda oficina o rea de trabajo debe poseer entre sus inventarios, herramientas auxiliares
(extintores, alarmas contra incendios, lmpara de emergencia), necesarias para salvaguardar los recursos
tecnolgicos y la informacin.
Art. 5. Toda visita a las oficinas de tratamiento de datos crticos e informacin (unidad de Sistemas, sala
de servidores entre otros) deber ser registrada mediante el formulario de accesos a las salas de
procesamiento crtico, para posteriores anlisis del mismo.
Art. 6. La sala o cuarto de servidores, deber estar separada de las oficinas administrativas de la unidad
de Sistemas o cualquier otra unidad , departamento o sala de recepcin del personal, mediante una divisin
en la unidad de Sistemas, recubierta de material aislante o protegido contra el fuego, Esta sala deber ser
utilizada nicamente por las estaciones prestadoras de servicios y/o dispositivos a fines
Art. 7. El suministro de energa elctrica debe hacerse a travs de un circuito exclusivo para los equipos
de cmputo, o en su defecto el circuito que se utilice no debe tener conectados equipos que demanda n
grandes cantidades de energa.
JSistem.
Art. 8. El suministro de energa elctrica debe estar debidamente polarizado, no siendo conveniente la
utilizacin de polarizaciones locales de tomas de corriente, sino que debe existir una red de polarizacin.
Art. 9. Las instalaciones de las reas de trabajo deben contar con una adecuada instalacin elctrica, y
proveer del suministro de energa mediante una estacin de alimentacin ininterrumpida o UPS para
poder proteger la informacin .
Art. 10. Las salas o instalaciones fsicas de procesamiento de informacin debern poseer informacin en
carteles, sobre accesos, alimentos o cualquier otra actividad contraria a la seguridad de la misma o de la
informacin que ah se procesa
Art. 2. Todo usuario externo, estar facultado a utilizar nica y exclusivamente el servicio que le fue
asignado, y acatar las responsabilidades que devengan de la utilizacin del mismo.
Art. 3. Los servicios accedidos por terceros acataran las disposiciones generales de acceso a servicios por
el personal interno de Sistem Contact - Center, adems de los requisitos expuestos en su contrato con la
Empresa .
5, RECOMENDACIO NES
JSistem.
Involucrar ta nto personal tcnico, como directivos de la Empresa, o a la alta gerencia en temas de
seguridad .
Realizar pruebas de intrusin, locales y externas por personal de la Empresa , de forma peridica
Contratar los servicios de terceros (Hacking tico), para ejecutar pruebas completas de intrusin a
los sistemas de la red Empresarial .
El departamento de recursos humanos, deber constatar, una clara y eficiente informacin sobre el
individu o en proceso de reclutamiento, referente a problemas o situaciones anmalas con otras
empresas o en el menor de los casos una solvencia judicial .
JSistem.
Corresponde a ste departamento mantener informadas a las Autoridades de Sistem Contact Center y al
resto de los usuarios de los avances tecnolgicos que se vayan produciendo en el rea de Sistemas
(hardware, software, material de informtica , etc.). Haciendo efecto de las responsabilidades antes
descritas, se establecer una normativa reguladora de los servicios de comunicacin informtica dentro de
las instalaciones fsicas de Sistem Contact - Center, y de las que sta realice con terceros .
JSistem.
Aplicar una metodologa de anlisis de riesgo para evaluar la seguridad informtica en la Empresa
Seleccionar los mecanismos y herramientas adecuados que permitan aplicar las polticas dentro de
la misin establecida
Crear un grupo de respuesta a incidentes de seguridad, para atender los problemas relacionados a
la seguridad informtica dentro de la Empresa
Crear y vigilar los lineamientos necesarios que coadyuven a tener los servicios de seguridad en la
Em presa
JSistem.
FORMACION PROFESIONAL
Licenciatura o Ingeniera en el rea de Sistemas.
Conocimientos
Conocimientos y Experiencia mnima
Pilas de TC/IP
Lenguajes de Programacin
Conocimientos de Redes
Conocimientos Criptogrficos
Mecanismos
de Seguridad
(Firmas
Certificados, Claves)
HABILIDADES PERSONALES
Concentracin de la atencin .
Pensamiento flexible.
digitales,
JSistem.
Habilidad para relacionarse con otros y para pedir ayuda cuando sea necesario
Iniciativa .
DEBERES Y RESPONSABILIDADES
seguridad
JSistem.
Debe ser el punto de referencia para todos los procesos de seguridad y ser capaz de guiar y
aconsejar a los usuarios de la Empresa sobre cmo desarrollar procedimientos para la proteccin
de los recursos .
Una tarea clave para el Gestor de Seguridad, es guiar al cuerpo directivo y a la administracin de
la Empresa ante incidentes de seguridad mediante un Plan de Respuesta a Incidentes, con el fin de
atender rpidamente este tipo de eventualidades
El Gestor de Seguridad, debe ser miembro activo del comit de seguridad, y mantener contacto
con los Gestores de Seguridad de otras organizaciones, estar suscrito a listas de discusin y de
avisos de seguridad.
JSistem.
ste a su vez, coordinar con los responsables de los activos de los diferentes departamentos de la
Em presa, brindando los medios necesarios para asegurar la disponibilidad ,
integridad y