PLAN INFORMTICO POLITICAS DE SEGURIDAD DE LA UDR

SANTA
I.

OBJETIVO
Es la de implantar una serie de leyes, normas, estndares y prcticas que garanticen
la seguridad, confidencialidad y disponibilidad de la informacin, y a su vez puedan
ser atendidas y ejecutadas por todos aquellos miembros de la organizacin a las que
van dirigidos.

II.

FINALIDAD
Dotar a la UDR SANTA de un instrumento normativo que oriente la adecuada
administracin de la informacin.
Dar a conocer a todo el personal de la UDR SANTA y personal externo la
existencia y operacin del Sistema de Gestin de la Seguridad de Informacin,
as como la exigencia en el cumplimiento de todo su marco regulatorio de
soporte.

III.

ALCANCE
El presente documento es de aplicacin a:
Personal de UDR SANTA.
Personal de otras empresas que brindan servicios dentro de las instalaciones
de la UDR SANTA.

IV.

DESCRIPCIN DE LAS POLTICAS:

IV.1 Acceso a la informacin

Todos los trabajadores que laboren en la UDR SANTA, deben tener acceso slo
a la informacin necesaria para el desarrollo de sus actividades. En el caso de
personas ajenas a la UDR, como Terceros y CAS, se debe autorizar slo el
acceso indispensable de acuerdo con el trabajo realizado por estas personas,
previa justificacin.
Para que un trabajador, tercero o CAS, tenga acceso a los servicios y recursos
informticos dispuestos por la UDR, se requiere que el director realice la
activacin de dichos servicios con el perfil requerido y las restricciones de
algunos servicios.
Cada vez que se recibe una computadora de escritorio o porttil para darle
acceso a los servicios tecnolgicos que brinda la UDR

a los usuarios, es

necesario, entregar el equipo con todos los servicios instalados, configurados y

en operacin. Configuracin de un antivirus, verificacin e instalacin de
herramienta para comprimir, verificacin e instalacin de herramienta para
gestionar archivos PDF, verificacin e instalacin de herramienta para quemar
CD y DVD. El otorgamiento de acceso a la informacin est regulado mediante
las normas y procedimientos definidos para tal fin. Todos los privilegios para el
uso de los sistemas de informacin de la UDR deben terminar inmediatamente
despus de que el trabajador cesa de prestar sus servicios.

Proveedores o terceras personas solamente deben tener privilegios durante el

periodo del tiempo requerido para llevar a cabo las funciones aprobadas.
Mediante el registro de eventos en los diversos recursos informticos de la
plataforma tecnolgica se efectuar un seguimiento a los accesos realizados por
los usuarios a la informacin de la UDR, con el objeto de minimizar el riesgo de
prdida de integridad de la informacin. Cuando se presenten eventos que
pongan en riesgo la integridad, veracidad y consistencia de la informacin se
debern documentar y realizar las acciones tendientes a su solucin.
4.2 Administracin de Hardware y Software
Todo cambio en el hardware o software que afecte los recursos informticos,
debe ser requerido por los usuarios responsables de la informacin y del proceso
y aprobado por el director de la UDR , con el visto bueno y supervisin del jefe
inmediato o a quienes estos formalmente deleguen. Los Responsables de la
administracin de los accesos, tendrn la facultad de aceptar o rechazar la
solicitud. Bajo ninguna circunstancia un cambio de hardware o software puede
ser aprobado, realizado e implantado por la misma persona o rea.
Para la administracin de cambios en hardware y software se efectuar el
procedimiento correspondiente definido por la UDR, de acuerdo con el tipo de
cambio solicitado.

Cualquier tipo de cambio debe quedar formalmente documentado desde su

solicitud hasta su implantacin. Este mecanismo proveer herramientas para
efectuar seguimiento y garantizar el cumplimiento de los procedimientos
definidos en nuestro sistema de Calidad. Todo cambio a un recurso informtico
relacionado con modificacin de accesos, mantenimiento de software o
modificacin de parmetros debe realizarse de tal forma que ponga en riesgo la
seguridad existente.
4.3 Seguridad de la Informacin
Los trabajadores, terceros y CAS de la UDR son responsables de la informacin
que manejan y debern cumplir los lineamientos generales y especiales dados
por la UDR, evitar prdidas, accesos no autorizados, exposicin y utilizacin
indebida de la misma. Los trabajadores, terceros y CAS no deben suministrar
cualquier informacin de la UDR a ningn ente externo sin las autorizaciones
respectivas.
Todo trabajador que utilice los equipos de cmputo y los servicios informticos
disponibles, tiene la responsabilidad de velar por la integridad, confidencialidad,
disponibilidad y confiabilidad de la informacin que maneje, especialmente si
dicha informacin est protegida por reserva legal o ha sido clasificada como
confidencial y/o crtica.

Despus de que trabajador, tercero y CAS deja de prestar sus servicios a la

UDR, ste se compromete a entregar toda la informacin respectiva de su

trabajo realizado al supervisor, Coordinador o jefe inmediato segn sea el caso,

y avala el recibido de la informacin. Una vez retirado el trabajador, terceros o
CAS deben comprometerse a no utilizar, comercializar o divulgar los productos
o la informacin generada o conocida durante la gestin en la entidad,
directamente o travs de terceros, as mismo, los trabajadores que detecten el
mal uso de la informacin est en la obligacin de reportar el hecho al grupo de
control interno disciplinario. Como regla general, la informacin de polticas,
normas y procedimientos de seguridad se deben revelar nicamente a los
trabajadores y entes externos que lo requieran, de acuerdo con su competencia y
actividades a desarrollar segn el caso respectivamente.
4.4 Seguridad de los servicios informticos
El sistema de correo electrnico y servicios informticos prestados por la UDR
deben ser usados nicamente para el ejercicio de las funciones de competencia
de cada trabajador y de las actividades contratadas en el caso de los contratados.
La UDR se reserva el derecho de acceder y develar todos los mensajes enviados
por medio del sistema de correo electrnico para cualquier propsito. Para este
efecto, el trabajador, tercero o CAS autorizar a la UDR para realizar las
revisiones y/o auditorias respectivas directamente o a travs de terceros.

Los trabajadores, terceros y CAS que hayan recibido aprobacin para tener
acceso a Internet a travs de equipos de cmputo o computadoras porttiles

personales, debern aceptar, respetar y aplicar las polticas y prcticas de uso de

Internet implantadas por la UDR.
Si los usuarios sospechan que hay infeccin por un virus, deben inmediatamente
comunicarse con el encargado de la oficina de mantenimiento de equipos de
cmputo, no utilizar la computadora y desconectarla de la red.
4.5 Seguridad de los sistemas de informacin
Todos los Servicios Tecnolgicos deben cumplir como mnimo con lo siguiente:
Administracin de usuarios: Establece como deben ser utilizadas las
claves de ingreso a los sistemas de informacin. Establece parmetros
sobre la longitud mnima de las contraseas, la frecuencia con la que los
usuarios deben cambiar su contrasea y los perodos de vigencia de las
mismas, entre otras.
Rol de Usuario: Los sistemas operacionales, bases de datos y aplicativos
debern contar con roles predefinidos o con un mdulo que permita
definir roles, definiendo las acciones permitidas por cada uno de estos.
El control de acceso a todos los sistemas de la UDR, debe realizarse por medio de
cdigos de identificacin y palabras claves o contraseas nicas para cada usuario,
bien sea controlado.

Las palabras claves o contraseas de acceso a los sistemas de informacin, que

designen los trabajadores, terceros o CAS son responsabilidad exclusiva de cada

uno de ellos y no deben ser divulgados a ninguna persona. Los usuarios son
responsables de todas las actividades llevadas a cabo con su cuenta de identificacin
de usuario y sus claves personales.
Todo sistema de informacin debe tener definidos los perfiles de usuario de acuerdo
con la funcin y cargo de los usuarios que acceden a l. Toda la informacin del
servidor de base de datos que sea sensible, crtica o valiosa debe tener controles de
acceso y sometida a procesos de respaldo para garantizar que no sea
inapropiadamente modificada, borrada o no recuperable.
4.6 Seguridad en las redes de comunicaciones
Las direcciones internas, topologas, configuraciones e informacin relacionada con
el diseo de los sistemas de comunicacin, seguridad y cmputo de la UDR,
debern ser consideradas y tratadas como informacin confidencial.
Todas las conexiones a redes externas de tiempo real que accedan a la red interna de
la UDR, debe pasar a travs de los sistemas de defensa electrnica que incluyen
servicios de ciframiento y verificacin de datos, deteccin de ataques cibernticos,
deteccin de intentos de intrusin, administracin de permisos de circulacin y
autenticacin de usuarios. Todo intercambio electrnico de informacin o
interaccin entre sistemas de informacin con entidades externas deber estar
soportado con un acuerdo u oficio de formalizacin.

4.7 Software utilizado

Todo el software de manejo de datos que utilice la UDR dentro de sus sistemas
de informacin, deber contar con las tcnicas ms avanzadas para garantizar la
integridad de los datos. Debe existir una cultura tecnolgica al interior de la
UDR que garantice el conocimiento por parte de los trabajadores, terceros y
CAS y de las implicaciones que tiene el instalar software ilegal en las
computadoras de la UDR. Existir un inventario de las licencias de software de
que permita su adecuada administracin y control evitando posibles sanciones
por instalacin de software no licenciado.
4.8 Actualizacin del Hardware
Cualquier cambio que se requiera realizar en los equipos de cmputo de la UDR
(cambios de procesador, adicin de memoria, tarjetas, etc.) debe realizarlo
exclusivamente por orden del director de la UDR. La reparacin tcnica de los
equipos, que implique la apertura de los mismos, nicamente puede ser realizada
por personal autorizado. Los equipos Tecnolgicos instalados (PC, servidores,
Router, impresoras, etc.) no deben moverse o reubicarse sin la aprobacin previa
del director de la UDR.

4.9 Copias de Respaldo o Backup

La informacin que es soportada por la infraestructura de tecnologa informtica
de la UDR deber ser almacenada y respaldada de acuerdo con las normas
emitidas de tal forma que se garantice su disponibilidad. Debe existir una
definicin formal de la estrategia de generacin, retencin y rotacin de las
copias de respaldo o Backus. El almacenamiento de la informacin deber
realizarse interna y/o externamente a la UDR, esto de acuerdo con la
importancia de la informacin para la operacin de la institucin.
Los trabajadores, terceros y CAS de un rea duea de la informacin, sern los
responsables de respaldar la informacin producida por el rea, siguiendo el
procedimiento definido por la UDR para salvaguardar la informacin de
usuarios. Los trabajadores son responsables de los respaldos de su informacin
en las computadoras, siguiendo las indicaciones tcnicas dictadas por la divisin
de Sistemas.
4.10 Auditora
Todos los procesos y procedimientos generados en la UDR, estarn disponibles
para revisin, evaluacin y seguimiento en forma peridica y sern susceptibles
a modificacin, adicin o borrado en caso de tener hallazgos crticos, con el fin
de contribuir al mejoramiento continuo del proceso de calidad de la UDR
SANTA.
4.11 Seguridad Fsica:

La UDR deber contar con los mecanismos de control de acceso tales como
sistemas de control y sistema de alarmas en las dependencias que la
considere crticas.
Los visitantes de las oficinas de la UDR deben ser escoltados durante todo el
tiempo por un empleado autorizado. Esto significa que se requiere de un
escolta tan pronto como un visitante entra a un rea y hasta que este mismo
visitante sale del rea controlada. Todos los visitantes requieren una escolta
incluyendo usuarios, antiguos empleados, miembros de la familia del
trabajador. Siempre que un trabajador se d cuenta que un visitante no
escoltado se encuentra dentro de reas restringidas de la UDR, el visitante
debe ser inmediatamente cuestionado acerca de su propsito de encontrarse
en rea restringida e informar a las responsables de la seguridad del edificio.
Las reas que la UDR considere criticas debern existir elementos de control
de incendio y alarmas. Las centrales de conexin o centros de cableado
deben ser catalogados como zonas de alto riesgo, con limitacin y control de
acceso. Los equipos de cmputo (PC, servidores, impresoras, entre otros) no
deben moverse o reubicarse sin la aprobacin previa.

Los trabajadores, terceros y CAS se comprometen a NO utilizar a la red

regulada de energa para conectar equipos elctricos diferentes a su equipo
de cmputo (CPU, monitor o Equipo Porttil), cargadores de celulares,

grabadoras,

electrodomsticos,

fotocopiadoras,

parlantes,

aires

acondicionados, ventiladores, cmaras fotogrficas, de video y en general

cualquier equipo que genere cadas de energa. Los particulares en general,
entre ellos, los familiares de los trabajadores, terceros y CAS no estn
autorizados para utilizar los servicios y recursos informticos de la UDR.
4.12 Administracin de Seguridad
Cualquier brecha de seguridad o sospecha en la mala utilizacin en la
Internet, los servicios y recursos informticos deber ser comunicada por el
trabajador que la detecta, en forma inmediata y confidencial al director de la
UDR. Los trabajadores, terceros y CAS que realicen las labores de
administracin de los servicios informticos son responsables por la
implementacin, permanencia y administracin de los controles sobre los
Recursos

Computacionales,

divulgar,

las

polticas,

estndares

procedimientos en materia de seguridad informtica. Efectuar el

seguimiento al cumplimiento de las polticas de seguridad y reportara al
director de la UDR, los casos de incumplimiento con copia a las oficinas de
control interno.