Está en la página 1de 9

Código de Ética &

Tecnología de la Información

Autor:

Ricardo Gordillo S.

Aprobó:

Veronica Pin Roberto Mendoza Francisco Solá

Director IT Gerente Financiero Gerente General

Version 1.0
Enero de 2009
Document Control

Effective Date: Enero 5 2009


Written By: Ricardo Gordillo S.
Reviewed By: Veronica Pin
Approved By:
Document Classification: INTERNAL USE ONLY

Cambios y Versiones
Versión Fecha Modifico Cambio
v.1.0 05/01/09 Ricardo Creación de la Política de
Gordillo S. Código de Ética &
Tecnologías de la
Información.
1. Propósito
El propósito del Código de Ética para la tecnología de la información es preservar la seguridad del negocio,
continuidad, productividad y su rentabilidad, así como de minimizar los daños al negocio o interrupciones por
amenazas, abuso, uso erróneo o ataques maliciosos externos/internos. Este documento establece los
requerimientos mínimos para el uso de los sistemas de información de Norlop JWT y abarca totalmente la
política a seguir por todos los empleados, consultores o contratistas.

2. Alcance

Todos los usuarios de los sistemas de información deberán cumplir este código adicional a la legislación
aplicable localmente.
El no cumplimiento puede resultar en una acción disciplinaria, y llegado el caso terminación del contrato.
Norlop JWT se reserva el derecho de hacer algún cambio a la política en cualquier momento.

3. Excepción

De existir alguna excepción a la política, deberá ser informada y aprobada por alguna de las siguientes personas:
Norlop JWT Financial Director (CFO), Norlop JWT Chief Information Officer (CIO), Norlop JWT CEO.

4. Comunicación

Se deberá informar a todo el personal de la compañía el contenido de las políticas, en la inducción al ingreso, en
correos informativos y reuniones internas. Todos los empleados anualmente deberán firmar la confirmación que
han leído, entendido y aceptado las políticas.

5. Políticas:

5.1. Políticas generales y Buenas prácticas.


 Norlop JWT se reserva el derecho (adicional a la regulación legal local) para monitorear, ingresar,
recuperar, leer y/o cerrar la comunicación hecha desde la oficina o usando equipos de Norlop JWT. La
información obtenida a través del monitoreo será disponible para uso interno y/o externo según se
juzgue apropiado o necesario por la gerencia.
 Los empleados no deben tener carpetas y archivos personales en computadores o discos removibles de
Norlop JWT. Si dicha información es almacenada, será tratada como propiedad de Norlop JWT y será
sujeta a revisión a petición de la dirección u otra persona autorizada.
 El personal de Norlop JWT no tiene permiso de publicar información relativa a los sistemas en uso o
que serán implementados, a no ser que estos sean requeridos por clientes previa autorización de la
dirección.
 Donde un control IT no se especifique o se refiera, los usuarios podrían pedir asesoría al departamento
de IT de Norlop JWT.
 Copiar o imprimir información confidencial, tan solo si es necesario, en una impresora localizada cerca
de su lugar de trabajo, en un área supervisada o con acceso controlado. Siempre destruir los
documentos con información confidencial o secreta usando según sea el caso, trituradoras de papel.
Los diskettes y cds deben ser usados de acuerdo a los procedimientos de basura confidencial, contacte
al IT local para más guía.
5.2. Retención de documentos
 Toda información creada, almacenada, adquirida o transmitida pertenece a Norlop JWT y debe ser
guardada en la red, por tal motivo la compañía se reserva el derecho de acceder a esta información para
detectar incumplimiento de esta política o para acceder y recuperar datos de negocio bajo autorización
de la Dirección General. Así mismo los usuarios no deben guardar este tipo de información en To
Do’s, Calendarios o memos en dispositivos PDAs
 Las políticas de retención también será aplicable a todos los materiales y comunicaciones.
 La retención de la información será regulada por la ley local o de acuerdo a las políticas de Norlop
JWT cuando sea mayor al tiempo de la regulación local.

5.3. Computador, RED y uso de Aplicaciones


 Los computadores de Norlop JWT son proporcionados para la administración de los negocios de
Norlop JWT.
 La información de Norlop JWT (especificaciones del servicio, bases de datos, listados de dirección de
correos electrónicos, software interno, documentación de los computadores, etc.) es permitida solo
para uso de los propósitos específicos permitidos y aprobados por la dirección.
 Ninguna persona está autorizada para modificar la configuración de los equipos.
 Solo los usuarios autorizados por la dirección deberán acceder a las aplicaciones y bases de datos de
Norlop JWT, con equipo propiedad de Norlop JWT.
 Los empleados no tienen permiso de instalar software en equipos de Norlop JWT (desktop o laptop).
La instalación del software es responsabilidad exclusiva del equipo de soporte de IT y solo se instalará
software, aplicaciones correctamente licenciadas y autorizadas por la dirección.
 La instalación de actualizaciones en los sistemas operativos y utilitarios es responsabilidad del
departamento de IT.
 El antivirus y su scanner no deben ser desactivados o evitados por los usuarios. Cualquier empleado
que sospeche que el scanner de su antivirus no está trabajando apropiadamente deberá avisar al equipo
de soporte local IT inmediatamente
 Los usuarios no deben instalar su propio hardware personal (WiFi cardas, PDA, etc) o software a los
computadores o equipos de la Compañía. Los archivos personales no deben ser salvados en equipos
propios de la Compañía.
 Todos los archivos relacionados con el negocio, deben ser guardados en los discos de la
red.
 Todos los usuarios deben apagar sus equipos diariamente.

5.4. Internet
 El acceso a Internet se tiene principalmente para propósitos del negocio y no para uso personal, aunque
será permitido de manera moderada bajo el criterio de la Dirección General de la compañía.
 Norlop JWT puede bloquear el acceso a un sitio en la red cuando sea juzgado inapropiado para el fin
del negocio, pero el hecho que el acceso al sitio no esté bloqueado no implica que es permitido
visitarlo. La tentativa de acceder a estos sitios puede ser revisada y monitoreada.
 Adicionalmente, no es aceptado el uso de la conexión de Internet para administrar negocios personales,
bajar software, jugar, realizar cualquier actividad ilegal, apostar, acceso a material ofensivo
(incluyendo pornografía) o para ganancias personales.

5.5. E-mail y software de mensajes instantáneos


 La información confidencial no puede ser enviada por correo electrónico o por otros medios como CD,
memorias USB u otro medio electrónico, a menos que sea formalmente autorizado por el propietario
de la información y la dirección general.
 Norlop JWT prohíbe estrictamente el envío de cadenas de correo, las cuales pueden dañar el
desempeño del sistema.
 Norlop JWT puede borrar correos después de un periodo de tiempo específico.
 Cualquier eliminación automática de e-mail o registros será suspendida y se tomarán las medidas para
preservar los registros, en caso que se inicie un litigio o investigación judicial.
 La distribución de correos internos fuera de Norlop JWT está estrictamente prohibido, a menos que el
correo sea de distribución pública.
 Soporte IT podrá ser consultado respecto a preocupaciones acerca del origen de un correo.
 Norlop JWT prohíbe cualquier correo u otra comunicación que acose en cualquier de sus formas,
degrade, difame o discrimine a cualquier persona o grupo. También el empleado no podrá expresar
cualquier información política o religiosa, visión u opinión vía email o sistema de Norlop JWT.
 El email tiene el mismo sustento legal como cualquier otra comunicación escrita. Correos financieros
relevantes (contratos con cliente, acuerdos financieros) podría ser impresos y conservados para
requerimientos legales en su oficina.
 Esta estrictamente prohibido enviar/recibir correos del negocio de un proveedor externo de correo
(Hotmail. Yahoo, AOL) Cualquier correo deber ser enviado/recibido por la cuenta de correo de la
compañía.
 El uso de los programas de mensaje instantáneos (MSN, AOL, Yahoo, Google) será autorizado bajo
criterio de la dirección general local.
 La transferencia de archivos confidenciales vía “mensaje instantáneo” no está permitida.
 Todos los mensajes instantáneos intercambiados con clientes, especialmente los relacionados a
acuerdos, autorizaciones o contratos deben ser seguidos con una confirmación de correo electrónico
para formalizar, verificar y asegurar la comunicación.

5.6. Seguridad física


 Cuando la información confidencial o crítica no esté en uso, se deberá asegurar y archivar debidamente
 Todo medio de almacenamiento de información (discos duros, diskettes, cintas, cds, USB, etc) que
contengan información confidencial o crítica deberá estar asegurado.
 Los medios de almacenamiento removibles o portables no pueden ser intercambiados con grupos de
trabajo que constituyan competencia para la oficina o para el cliente sea o no información confidencial.
 Fuera del horario regular de trabajo, todo personal debe dejar vacío sus escritorios y áreas de trabajo
asegurando toda información confidencial y crítica.
 Las tarjetas de Identificación que han sido robadas o perdidas deben reportarse inmediatamente. Así
mismo, cualquier computador, blackberry o celular corporativo que ha sido perdido o robado deberá
ser reportado.
 En el evento que Norlop JWT determine que la seguridad se ha puesto en riesgo o ha sido violada, las
carteras, bolsos, maletas y otros tipos de maletines podrán ser revisados por los guardias de seguridad
con la debida discreción.
 En caso de no existir un sistema automatizado para el control de acceso a las áreas restringidas IT,
todos los visitantes o empleados deberán firmar un libro de registro para acceder a dichas áreas. En
caso de ser visitante deberá estar acompañado del personal IT.
 Todos los visitantes (no empleados Norlop JWT) que se les concedan acceso a Internet o a un
computador de la empresa no deberán tener acceso a la red Norlop JWT ni a sus sistemas financieros.
Cualquier excepción deberá ser comunicada y aprobada y firmada por la Dirección. Así mismo el
equipo de soporte de sistemas asegurará que no se tendrá riesgo de virus o programas no autorizados o
mal intencionados.
 Todo equipo asignado al personal es entregado con configuración de usuario avanzado, por tal motivo
en caso que el empleado en una situación extraordinaria guarde información localmente se guardará
dentro del perfil de usuario (mis documentos), se hace la aclaración que NO se realiza backup
(respaldo) de dicha información. Al transferir un equipo de un empleado a otro, el área de sistemas
deberá de borrar el perfil del antiguo usuario, eliminando automáticamente la información contenida en
el equipo.
 El personal que tenga asignado equipos portables o laptop con contenido confidencial o crítico no
deberá dejar esos computadores sin atención o la debida seguridad. Todos los usuarios deberán tener
un candado de seguridad.
 Cuando se realice un vuelo, los laptop deberán ser parte del equipo de mano y no se deberá registrar
como equipaje. Favor de revisar con su aerolínea antes de viajar para asegurar que su computador
puede ser incluido como equipaje de mano. En el evento que debe ser ingresado como equipaje, no
debería de tomar ese vuelo.

5.7. Contraseña
 Su contraseña es su identidad cuando accede a los sistemas y los equipos. Cada usuario es responsable
por las acciones tomadas con sus contraseñas asignadas. A los usuarios se les solicita el cambio de sus
contraseñas pero siempre hay una posibilidad que estos se sepan de otra persona. Si usted sospecha
que su contraseña ha sido conocida, usted está obligado a contactar a su equipo de IT local
inmediatamente.
 En ninguna circunstancia, las contraseñas deben de ser compartidas o reveladas a persona alguna.
 Los usuarios son responsables por toda actividad desarrollada bajo su usuario personal (ID). Los IDs
no deben ser utilizados por otra persona diferente a quien fue asignado. Para resolver problemas el IT
staff puede necesitar la contraseña, pero una vez resuelto, debe ser cambiado por el usuario para
preservar la confidencialidad.
 Todas las contraseñas al menos deben tener:
a. Ocho (8) caracteres.
b. Un número o signo.
c. Una letra mayúscula.
d. Una letra minúscula.
 Las cuentas de la red (Network Active Directory) serán bloqueadas después de diez (10) intentos
inválidos.
 Todas las contraseñas para los computadores y la red deben ser creadas tan complejas como sea
posible. Palabras en un diccionario derivadas de su “user ID” y secuencias de caracteres tales como
“123456” no deben ser empleadas. Así mismo, detalles personales como el nombre de su esposo/a,
número de identificación, apodos y fechas de cumpleaños no deben ser usados a menos que se
acompañen con caracteres adicionales.
 Los usuarios no deben usar contraseñas que sean idénticas o similares a las que han empleado
previamente. El sistema no permitirá repetir las anteriores 10 contraseñas.
 Todos los usuarios automáticamente serán forzados a cambiar sus contraseñas al menos una vez cada
51 días
 Todos los computadores deben tener un protector de pantalla con contraseña y se debe activar en un
tiempo de 20 minutos luego de inactividad
 Todas las blackberrys deben de tener una contraseña con un mínimo de 4 caracteres y pasar a
inactividad luego de 15 minutos.
 Para todas las laptop o equipos portátiles de la compañía es recomendable usar protección con
password de BIOS y disco duro.

5.8. Accesos Remotos


 El personal tiene prohibido conectarse por módem a Internet desde su equipo de trabajo. Si el
empleado lo requiere, deberá tener permiso por escrito de la dirección general. Cualquier otra
configuración esta estrictamente prohibida.
 En caso de requerir información confidencial Norlop JWT desde un equipo remoto debe existir
autorización expresa de la dirección general.

6. Control Seguridad y Backups

6.1. Procedimiento de seguridad:

Al día de hoy contamos con los siguientes procedimientos:

a) Alta de Usuario: Red, Correo electrónico y Sistemas de Negocio (AS400). A través de solicitud de
Dirección Recursos Humanos.
b) Baja de Usuario: Red, Correo electrónico y Sistemas de Negocio. A través de reporte de Dirección de
Recursos Humanos, se da de baja ambas cuentas conforme a la solicitud (fecha/hora). Los directorios
personales y archivo de correo electrónico se incluyen en el respaldo mensual, posterior a esto se
eliminan físicamente. El usuario de AS400 es desactivado por el departamento de IT.

6.2. Backups.

El Departamento de IT realizará backups diarios incrementales y totales semanales.

El último backup semanal del mes, será enviado fuera de sitio como backup total del mes.

La solicitud de backups específicos del personal, así como la solicitud de restauración deberá realizarse vía
email al personal de Soporte Técnico IT.

7. Política de compras IT

El procedimiento de Adquisición de Recursos Tecnológicos contiene cuatro etapas:

 Determinación de requerimientos en presupuesto anual.


 Verificar si existe convenio WPP establecido con proveedores de acuerdo al tipo de recursos.
 Cotización de recursos tecnológicos.
 Compra de recursos tecnológicos en presupuesto.
 Compra de recursos tecnológicos fuera de presupuesto.

Como resultado del procedimiento de adquisición, se elabora un expediente que contiene los siguientes registros:

 Tres cotizaciones.
 Análisis comparativo de las cotizaciones.
o Para argumentar la selección de proveedor.
o La cotización de proveedor elegido y el análisis comparativo de cotizaciones, debe estar firmada
por el Director de Finanzas y el CIO.
 Requisición de compra al proveedor seleccionado.
 Copia de la factura.

El resguardo de la factura original del proveedor es hecho por Contabilidad.

Todos los activos que se tengan en arrendamiento (en leasing) deberán ser aprobados por el CFO y el CIO nacional.

8. Sistemas de negocio

No se desarrollaran, compraran o implementaran nuevos sistemas de negocio sin consultar primero al


Ejecutivo de Información en Jefe (CIO). Para este propósito se tomarán en cuenta como sistemas de negocio los
siguientes: Contabilidad, Proveedores, Clientes, Facturación, Producción, RRHH y Administración de Medios.
Se han conformado los siguientes comités para administrar los cambios en Sistemas de Negocio.

Adicionalmente ningún sistema de negocio referido con anterioridad podrá ser implementado para su puesta en
marcha entre los meses Septiembre-Diciembre. En tal caso deberá solicitarse autorización de CIO nacional.
9. Software desarrollado para el uso del cliente

Deberán ser protegidos los derechos de propiedad e intelectuales del software desarrollado por una compañía del
grupo para el uso del cliente.

Toda entrega de software al cliente deberá ser acompañada de cláusulas, términos y condiciones a través de un
contrato, de manera tal que se minimice el riesgo en la pérdida de derechos para la compañía.

Cualquier préstamo o entrega de hardware, software o servicios a los clientes deberá ser acordado por medio de un
escrito, el cual será revisado por la representación legal de la compañía y firmado por ambas partes. Dicho acuerdo
debe incluir protección para los siguientes riesgos (estos no son los únicos que se pueden incluir):

 Mantenimiento de la propiedad intelectual;


 Otros factores del copyright;
 Procedimientos de soporte y mantenimiento;
 El Propósito debe ser limitado (las compañías Norlop JWT deben evitar dar garantías)
Confirmación

Confirmo que he leído el memorándum de Norlop JWT Código de Ética &


Tecnologías de la Información fechado el día 01 / 05 / 2009 y, que a la fecha no
tengo conocimiento de cualquier circunstancia ni estoy involucrado personalmente, no
tengo conocimiento de que cualquier empleado este involucrado en cualquiera de las
circunstancias descritas en la mencionada política, expresando mi conocimiento y
aceptación de lo que cualquier vía que constituya una violación, excepto como se
describe anteriormente.

Firma:

Nombre:

Cargo:

Oficina:

Fecha:

Comentarios: