Universidad Católica de Santa María

Política
Política de Tecnología de la Información

Universidad Católica de Santa María – Todos los derechos reservados Página 1

 Universidad Católica de Santa María

1 Introducción

La política del uso aceptable de las tecnologías de información y recursos digitales de la

Universidad Católica de Santa María definen todos los usos de tecnologías de la información,
recursos digitales y accesos a la red. Departamentos, escuelas, facultades y oficinas que creen
políticas de computación o red especializadas deben trabajarse con la Oficina de Informática
antes de su constitución para asegurar que estas políticas especializadas son consistentes, y no
tienen conflicto, con esta política. Una vez aprobadas estas políticas especializadas serán
referenciadas en versiones posteriores de esta política.

Adicionalmente los recursos de tecnología de información y los accesos dados por la

universidad a las redes globales y los recursos digitales en red son gobernados por esta política
y sus reglas definidas en esta política y subsiguientes. Por ejemplo, las políticas y reglas
definidas en las políticas de propiedad, seguridad de la información y privacidad en el aspecto
físico también aplica para todas las áreas que involucren computadoras o dispositivos móviles,
cuando estos involucren el uso o publicación vía internet, incluyendo pero no limitando,
páginas web, cuadros de mensaje, wikis, lugares de chat, redes sociales, sitios de compartición
de medios y otros medios electrónicos similares.

2 Objetivo

Los principales objetivos de estas políticas son:

1. Asegurar que los recursos y espacios de tecnología de la información son usados para
apoyar y mejorar la misión de la universidad de enseñanza e investigación, mientras se
mejora y adoptan mejores medidas para nuestra diversa comunidad
2. Definir el alcance de la universidad en cuanto el uso de tecnología de información,
definiendo es un “portador” de la información a través de medios de comunicación
electrónica en lugar de un publicador y por lo tanto, excepto en lo que respeta a
publicaciones oficiales de la universidad, no se responsabiliza de materiales o
comunicaciones que las personas puedan crear, enviar o publicar a través de internet
mediante grupos de discusión, redes sociales, cualquier método de intercambio de
archivos, correo electrónico, mensajería instantánea, video o cualquier otra acción
realizada por medios electrónicos. Sin embargo, en ciertas circunstancias la universidad
puede responder a requerimientos sobre quejas relacionadas a la naturaleza o cometido
de algunos materiales o comunicaciones.

3 Alcance

Esta política es aplicable a, y será comunicada a, toda la comunidad universitaria, otros miembros de la
Universidad y terceros que interactúen con los sistemas y tecnologías de la información administradas

Universidad Católica de Santa María – Todos los derechos reservados Página 2

 Universidad Católica de Santa María

por la universidad usados para el desarrollo de procesos de enseñanza, investigación, apoyo y

proyección social. Esto incluye, pero no limita, cualquier sistema o data adjuntada a la red de datos o
telefónica de la universidad, sistemas administrados por la universidad, dispositivos móviles usados para
conectarse a la red o mantener la data de la universidad, data a través de la cual la universidad
mantienen derechos de propiedad intelectual, data a través de la cual la universidad es dueña o
responsable de custodiar data, y comunicaciones desde o hacia la universidad.

4 Definiciones

5 Política

5.1. Principios de seguridad de la información

Los siguientes principios de seguridad de información proveen la especificación para la seguridad y

administración de la información en la Universidad Católica de Santa María.

1. La información debe ser clasificada de acuerdo a niveles apropiados de

confidencialidad, integridad y disponibilidad (ver la sección 5.3 Clasificación de la
información) y acorde con los requerimientos contractuales, regulatorios y
normativos relevantes de la política de la universidad (ver la sección 5.2 Obligaciones
regulatorias y legales).
2. Los miembros de la empresa con responsabilidades particulares de información (ver
la sección 7. Responsabilidades) son responsables de asegurar la clasificación de la
información, para el manejo de la información de acuerdo a los niveles de
clasificación y para cualquier política, procedimiento o sistema que requiera de estas
responsabilidades.
3. Todos los usuarios dentro del alcance de esta política deben manejar la información
de forma apropiada de acuerdo a los niveles de clasificación.
4. La información debe ser segura y disponible para estos usuarios con una necesidad
legitima de acceso de acuerdo a los niveles de clasificación
5. La información será protegida contra accesos y procesamientos no autorizados de
acuerdo a los niveles de clasificación.
6. Vacíos en esta política deben ser reportados (ver las secciones 6 Cumplimiento y 5.4
Manejo de incidentes)

5.2. Obligaciones regulatorias y legales

Universidad Católica de Santa María – Todos los derechos reservados Página 3

 Universidad Católica de Santa María

La Universidad Católica de Santa María tiene la responsabilidad de acatar y cumplir a toda la

legislación actual de Perú así como a una variedad de requerimientos regulatorios y contractuales.

Un resumen no exhaustivo de la legislación y obligaciones regulatorias y contractuales que

contribuyen con la forma y contenido de esta política es dada en el Anexo A. Las políticas
relacionadas detallaran otros requerimientos legales aplicables o proveerán más detalle de las
obligaciones derivadas de la legislación resumida más adelante.

5.3. Clasificación de la información

La siguiente tabla provee un resumen de los niveles de clasificación de la información que han sido
adoptados por la universidad y que se encuentran regidos bajo los 8 principios de la seguridad de la
información definidos en esta política. Estos niveles de clasificación explícitamente incorporan
definiciones de data personal (DPA) y data persona sensible, que está en la política de protección de
datos de la universidad y en la ley de protección de datos personales del país, y están diseñados
para cubrir búsqueda de data primaria y secundaria. La información detallada de la definición de
niveles de clasificación de la información y proveer niveles apropiados de seguridad y acceso es
dada en la siguiente tabla.

Nivel de Seguridad Definición Ejemplos

Confidencial Normalmente accesible Datos personales constituidos por los

solo para trabajadores
específicos del equipo de
trabajo de la universidad
datos biométricos que por sí mismos
pueden identificar al titular; datos
referidos al origen racial y étnico;
ingresos económicos, opiniones o
convicciones políticas, religiosas,
filosóficas o morales; afiliación sindical;
e información relacionada a la salud o a
la vida sexual.

Restringida Normalmente accesible Toda información sobre una persona

solo para miembros natural que la identifica o la hace
trabajadores o identificable a través de medios que
estudiantes. pueden ser razonablemente utilizados.

Uso Interno Normalmente accesible Correspondencia interna,

solo para miembros documentación interna (resoluciones,
trabajadores o autorizaciones, oficios, normas
estudiantes. estándares, etc.), información regida
bajo licencia

Universidad Católica de Santa María – Todos los derechos reservados Página 4

 Universidad Católica de Santa María

Publico Accesible a todos los Cuentas anuales, escalas de pago, etc.

miembros de la
comunidad Información disponible en el portal de
la universidad.

5.4. Manejo de incidentes

Si algún miembro de la comunidad universitaria es consciente de un incidente de seguridad de la

información este debe reportarlo al área de informática a través del correo soporte@ucsm.edu.pe o
al teléfono 054 382038 #1027.

5.5. Políticas de soporte, códigos de práctica, procedimientos y lineamientos

Las políticas de soporte han sido desarrolladas para fortalecer y respaldar esta política. Estos,
además de sus asociados códigos de práctica, procedimientos y lineamientos son publicados en
conjunto y están disponibles para su vista en la web. Todos los trabajadores, estudiantes y terceros
autorizados para acceder a la red o la infraestructura deben estar familiarizados con estos
documentos de soporte y adherirse a ellos en los ambientes de trabajo.

Ruta de políticas

6 Cumplimiento de política

6.1 Medición de cumplimiento

Esta política, y sus subsidiarias, deben ser revisadas por el jefe de la oficina de informática y
regularmente actualizadas para asegurar que se mantienen apropiados a la luz de cualquier
cambio relevante a la ley, políticas organizacionales u obligaciones contractuales.

6.2 Excepciones

Cualquier excepción a esta política debe ser aprobada por el jefe de la oficina de informática en
adelante y escribirse el registro de cambio.

6.3 Incumplimiento

Universidad Católica de Santa María – Todos los derechos reservados Página 5

 Universidad Católica de Santa María

Cualquier brecha de seguridad de los sistemas de información de la universidad puede

causar la perdida de confidencialidad, integridad y disponibilidad de data confidencial o
personal almacenada en estos sistemas de información. La pérdida o fuga de data
confidencial o personal es una infracción de la ley de protección de datos personales, que
infringe la política de protección de datos de la universidad, y puede resultar en medidas
civiles o criminales contra la universidad. La pérdida o fuga de confidencialidad de la
información asegurada contractualmente puede resultar en la pérdida del negocio, sanciones
financieras o acciones civiles o criminales contra la universidad. Asimismo es crucial que
todos los usuarios de los sistemas de información de la escuela se adhieran a las políticas de
seguridad de la información y de sus políticas de soporte así como al estándar de
clasificación de información.

7 Responsabilidades

Miembros de la Universidad Católica de Santa María:

Todos los miembros de la universidad, asociados, terceros y colaboradores son usuarios de la

información de la universidad. Esto implica la responsabilidad de cumplir con esta política, sus principios
y la legislación, políticas de soporte, procedimientos y lineamientos relevantes. Ningún individuo debe
tener acceso a información a la que no tienen acceso legítimo. Sin perjuicio de sistemas para prevenir
esto, ningún individuo debe contravenir a sabiendas esta política, ni permitir que otros lo hagan. Para
informar de las infracciones de política, por favor consulte la Sección 5.4: Manejo de Incidentes

Dueños de datos/ guardianes:

Muchos miembros de la universidad tienen responsabilidades específicas o generales para preservar la

confidencialidad, integridad y disponibilidad de la información. Esto incluye:

- Investigadores principales/ administradores de proyecto

Responsables de la seguridad de la información producida, proveída o mantenida en el
transcurso de llevar a cabo la investigación, consultoría o actividades de transmisión de
conocimiento. Esto implica asegurar que la data es almacenada adecuadamente, que el
riesgo de la data es entendido apropiadamente y bien mitigada o aceptada explícitamente,
que los permisos de acceso están bien definidos con acceso exclusivo a las personas
correctas y el aseguramiento medios de respaldos, retención, recuperación de desastre y
mecanismos de eliminación apropiados.

- Jefes de departamentos, facultades, escuelas, divisiones, centros:

Universidad Católica de Santa María – Todos los derechos reservados Página 6

 Universidad Católica de Santa María

Responsables por los sistemas de información (ejemplo: Académico/RRHH/Finanzas)

para trabajos tanto manuales como electrónicos que soportan el trabajo de la universidad.
Las responsabilidades iguales a las anteriores (Investigadores principales/
administradores de proyecto)

- Administradores departamentales/ administradores de línea:

Responsables de un área específica de trabajo, incluyendo toda la información de soporte
y la documentación que puede incluir documentos de trabajo, contratos, miembros o
información de estudiantes.

- Jefe de la división de investigación

Aprueba contractos de investigación y es responsable de proporcionar la seguridad de que
se cumplen todas las medidas de seguridad exigidas para los datos de investigación.

- Secretarias de la universidad
Responsables de cumplir con la normatividad de la protección de datos

- Administradores de registros
Responsables de cumplir con la política de protección de datos, la protección de datos y
registros de problemas de retención.

- Miembros del equipo TI

Responsables de asegurar que los ambientes de TI son consistentes con las demandas de
esta política y las buenas prácticas actuales.

- Jefe de seguridad
Responsable de aspectos físicos de seguridad y de proveer opiniones de especialidad
frente a problemas de seguridad física.

- Administrador de la seguridad de la información

Responsable de esta y subsecuentes políticas de seguridad de la información y de proveer
opinión de especialista frente a problemas relacionados a la seguridad de la información.

- Jefe de informática
Responsable de aprobar políticas de seguridad de la información, la evaluación de los
riesgos de seguridad de la información, la identificación y la aplicación de controles a los
riesgos.

Universidad Católica de Santa María – Todos los derechos reservados Página 7

 Universidad Católica de Santa María

8 Estándares, políticas y procesos relacionados

Titulo Versión Fecha Autor

Política de protección 1.0 Renzo Rivera

de datos

ISO/IEC 27001:2013 ISO/IEC

Universidad Católica de Santa María – Todos los derechos reservados Página 8

 Universidad Católica de Santa María

9 Control documento

Histórico Versiones

Fecha Responsable Descripción

10/07/2015 Renzo Mauricio Creación de política de seguridad de la

Rivera Zavala información

Lista Distribución

Nombre Rol Dependencia

Control de revisiones

Revisor Sección Descripción Acciones

Universidad Católica de Santa María – Todos los derechos reservados Página 9

 Universidad Católica de Santa María

Anexo A: resumen de normatividad relevante

Principios rectores de la protección de datos personales

Artículo 4.

Principio de legalidad El tratamiento de los datos personales se hace conforme a lo establecido en la ley.
Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.

Artículo 5.

Principio de consentimiento Para el tratamiento de los datos personales debe mediar el consentimiento
de su titular.

Artículo 6.

Principio de finalidad Los datos personales deben ser recopilados para una finalidad determinada,
explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya
sido la LEY Nº 29733 LEY DE PROTECCIÓN DE DATOS PERSONALES 3 de 13 establecida de manera
inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor
histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimizacion.

Artículo 7.

Principio de proporcionalidad Todo tratamiento de datos personales debe ser adecuado, relevante y no
excesivo a la finalidad para la que estos hubiesen sido recopilados.

Artículo 8.

Principio de calidad Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la
medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la
que fueron recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el
tiempo necesario para cumplir con la finalidad del tratamiento.

Artículo 9.

Principio de seguridad El titular del banco de datos personales y el encargado de su tratamiento deben
adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos
personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a
efectuar y con la categoría de datos personales de que se trate.

Artículo 10.

Universidad Católica de Santa María – Todos los derechos reservados Página 10

 Universidad Católica de Santa María

Principio de disposición de recurso Todo titular de datos personales debe contar con las vías
administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos
sean vulnerados por el tratamiento de sus datos personales.

Artículo 11.

Principio de nivel de protección adecuado Para el flujo transfronterizo de datos personales, se debe
garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo
menos, equiparable a lo previsto por esta Ley o por los estándares internacionales en la materia.

Artículo 12.

Valor de los principios La actuación de los titulares y encargados de los bancos de datos personales y, en
general, de todos los que intervengan con relación a datos personales, debe ajustarse a los principios
rectores a que se refiere este Título. Esta relación de principios rectores es enunciativa.

Los principios rectores señalados sirven también de criterio interpretativo para resolver las cuestiones
que puedan suscitarse en la aplicación de esta Ley y de su reglamento, así como de parámetro para la
elaboración de otras disposiciones y para suplir vacíos en la legislación sobre la materia.

La documentación completa de la ley 27933 – Ley de protección de datos personales puede ser vista en
el siguiente enlace: http://www.minjus.gob.pe/wp-content/uploads/2013/04/DS-3-2013-
JUS.REGLAMENTO.LPDP_.pdf.

Universidad Católica de Santa María – Todos los derechos reservados Página 11