Está en la página 1de 37

2013 Rev 1

GESTION INTEGRAL

Moiss Bentez
Gerente de Tecnologa
POLITICAS DE SEGURIDAD INFORMATICA
Las polticas de seguridad informtica tienen por objeto establecer las medidas de ndole
tcnica y de organizacin, necesarias para garantizar la seguridad de las tecnologas de
informacin (equipos de cmputo, sistemas de informacin, redes (Voz y Datos)) y
personas que interactan haciendo uso de los servicios asociados a ellos y se aplican a
todos los usuarios de cmputo de las empresas.
Polticas de Seguridad Informtica
Pgina 1 de 36


1 Contenido
2 DISPOSICIONES GENERALES ........................................................................................................ 4
2.1 Definiciones ......................................................................................................................... 4
2.1.1 GI: Gestin Integral (GI) ............................................................................................... 4
2.1.2 ABD .............................................................................................................................. 4
2.1.3 ATI................................................................................................................................ 4
2.1.4 Centro de Comunicaciones: ........................................................................................ 5
2.1.5 Comit ......................................................................................................................... 5
2.1.6 Contrasea .................................................................................................................. 5
2.1.7 DataCenter (Centro de Datos) ..................................................................................... 5
2.1.8 Gerencia ...................................................................................................................... 5
2.1.9 Gestor de Seguridad .................................................................................................... 6
2.1.10 Red............................................................................................................................... 6
2.1.11 Responsable de Activos ............................................................................................... 6
2.1.12 Solucin Antivirus ........................................................................................................ 6
2.1.13 Usuario ........................................................................................................................ 6
2.1.14 Virus informtico ......................................................................................................... 6
2.2 Alcance ................................................................................................................................ 6
2.3 Objetivos ............................................................................................................................. 7
2.4 Vigencia ............................................................................................................................... 8
2.5 Notificaciones de violaciones de seguridad ........................................................................ 8
2.6 Lineamientos para la adquisicin de bienes informticos .................................................. 9
2.6.1 Precio ........................................................................................................................... 9
2.6.2 Calidad ......................................................................................................................... 9
2.6.3 Experiencia .................................................................................................................. 9
2.6.4 Desarrollo Tecnolgico ................................................................................................ 9
2.6.5 Estndares ................................................................................................................... 9
2.6.6 Capacidades................................................................................................................. 9
2.6.7 Software .................................................................................................................... 10
2.7 Licenciamiento .................................................................................................................. 12
Polticas de Seguridad Informtica
Pgina 2 de 36

2.8 Bases de datos ................................................................................................................... 12
2.9 Frecuencia de evaluacin de las polticas. ........................................................................ 12
3 POLITICAS DE SEGURIDAD FISICA .............................................................................................. 14
3.1 Acceso Fsico...................................................................................................................... 14
3.2 Proteccin Fsica ................................................................................................................ 14
3.2.1 Data Center ............................................................................................................... 14
3.2.2 Infraestructura .......................................................................................................... 15
3.3 Instalaciones de equipos de cmputo .............................................................................. 15
3.4 Control ............................................................................................................................... 15
3.5 Respaldos .......................................................................................................................... 16
3.6 Recursos de los usuarios ................................................................................................... 16
3.6.1 Uso ............................................................................................................................. 16
3.6.2 Derechos de Autor .................................................................................................... 17
4 POLITICAS DE SEGURIDAD LOGICA ............................................................................................ 19
4.1 Red .................................................................................................................................... 19
4.2 Servidores .......................................................................................................................... 19
4.2.1 Configuracin e instalacin ....................................................................................... 19
4.2.2 Correo Electrnico ..................................................................................................... 20
4.2.3 Bases de Datos .......................................................................................................... 20
4.3 Recursos de Cmputo ....................................................................................................... 20
4.3.1 Seguridad de cmputo .............................................................................................. 20
4.3.2 Ingenieros de Soporte ............................................................................................... 21
4.3.3 Renovacin de equipos ............................................................................................. 21
4.4 Uso de Servicios de Red .................................................................................................... 22
4.4.1 Gerencias y Sedes ...................................................................................................... 22
4.4.2 Usuarios ..................................................................................................................... 22
4.5 Antivirus ............................................................................................................................ 25
4.5.1 Antivirus de la Red..................................................................................................... 25
4.5.2 Responsabilidad de los ATI ........................................................................................ 25
4.5.3 Cobertura .................................................................................................................. 25
4.5.4 Polticas Antivirus ...................................................................................................... 26
Polticas de Seguridad Informtica
Pgina 3 de 36

4.5.5 Control de Aplicaciones y Dispositivos ...................................................................... 28
4.5.6 Uso del Antivirus por los usuarios ............................................................................. 29
5 SEGURIDAD PERIMETRAL .......................................................................................................... 30
5.1 Firewall .............................................................................................................................. 30
5.2 Sistemas de Deteccin de Intrusos (IDS) ........................................................................... 30
5.3 Redes Privadas Virtuales (VPN) ......................................................................................... 31
5.4 Conectividad a Internet ..................................................................................................... 31
5.5 Red Inalmbrica (WIFI) ...................................................................................................... 32
5.5.1 Acceso a Funcionarios de Las Empresas: .................................................................. 32
5.5.2 Acceso a Invitados: .................................................................................................... 34
6 PLAN DE CONTINGENCIAS INFORMATICAS ............................................................................... 35
7 ACTUALIZACIONES DE LA POLTICA DE SEGURIDAD ................................................................. 36
7.1 Disposiciones ..................................................................................................................... 36



Polticas de Seguridad Informtica
Pgina 4 de 36


2 DISPOSICIONES GENERALES

2.1 Definiciones

2.1.1 GI: Gestin Integral (GI)

Es una compaa de OutSourcing Administrativo y de Tecnologa del Grupo Empresarial
conformado por las siguientes empresas (Las Empresas):

Mediawise Colombia S.A.
Ncleo Digital S.A.
OMD Colombia S.A.
PHD Network Colombia S.A.
Proximity Colombia S.A.
Sancho BBDO
Seor Lpez S.A.
Sstole S.A.

GI, como responsable de proveer y mantener la infraestructura de Tecnologa de todas Las
Empresas ha desarrollado las siguientes Polticas de Seguridad Informtica que, a su vez,
son un conjunto de normas enmarcadas en el mbito jurdico y administrativo de Las
Empresas. Estas normas inciden en la adquisicin y el uso de los bienes y servicios
informticos, las cuales se debern acatar por aquellas instancias que intervengan directa
o indirectamente en ello.

2.1.2 ABD

Administrador de Base de Datos.

2.1.3 ATI

Administradores de Tecnologa de Informacin de GI. Responsables de la administracin
de los equipos de cmputo, sistemas de informacin y redes de Las Empresas. Vela por
todo lo relacionado con la utilizacin de equipos de cmputo, sistemas de informacin,
redes informticas, procesamiento de datos e informacin y la comunicacin en s, a travs
de medios electrnicos.

El rea de Tecnologa de GI actualmente est conformado por 17 funcionarios los cuales
tienen a su cargo distintas funciones referentes a el soporte y mantenimiento de la
plataforma tecnolgica, desarrollo de sistemas de informacin, administracin de bases de
datos, gestin de recursos de tecnologa y administracin de redes; dado a esta razn ha
sido necesario emitir polticas particulares para el conjunto de recursos y facilidades
Polticas de Seguridad Informtica
Pgina 5 de 36

informticas, de la infraestructura de telecomunicaciones y servicios asociados a ellos,
provistos por GI.

La Administracin de Tecnologa de GI est integrada por la Gerencia de Tecnologa, el
Jefe de Soluciones IT y el Jefe de Infraestructura, los cuales son responsables de:

Velar por el funcionamiento de la tecnologa informtica que se utilice en las
diferentes reas.
Definir estrategias y objetivos a corto, mediano y largo plazo.
Mantener la arquitectura tecnolgica.
Controlar la calidad del servicio brindado.
Mantener el Inventario actualizado de los recursos informticos.
Velar por el cumplimiento de las Polticas y Procedimientos establecidos.
Desarrollar, someter a revisin y divulgar (intranet, email, sitio web oficial) las
Polticas de Seguridad.

2.1.4 Centro de Comunicaciones:

Cualquier oficina dentro de Las Empresas que cuenten con equipamiento de cmputo,
telecomunicaciones o servidores.

2.1.5 Comit

Equipo integrado por La Gerencia, el Gestor de Seguridad, los Jefes de rea y el personal
administrativo de Las Empresas (ocasionalmente) convocados para fines especficos como:

Adquisiciones de Hardware y software
Establecimiento de estndares de Las Empresas tanto de hardware como de
software
Establecimiento de la Arquitectura tecnolgica de grupo.
Capacitar a los empleados en lo relacionado con las Polticas de Seguridad.

2.1.6 Contrasea

Conjunto de caracteres que permite el acceso de un usuario a un recurso informtico
(password).

2.1.7 DataCenter (Centro de Datos)
Oficina con equipos de cmputo, telecomunicaciones y servidores que prestan servicios a
todas Las Empresas con las caractersticas fsicas y ambientales adecuadas para que los
equipos alojados funcionen sin problema.
2.1.8 Gerencia

Polticas de Seguridad Informtica
Pgina 6 de 36

Representante de nivel superior de Las Empresas que a su vez integra el comit de
seguridad. Bajo su administracin estn la aceptacin y seguimiento de las Polticas de
Seguridad.

2.1.9 Gestor de Seguridad

Persona dotada de conocimientos tcnicos, encargada de velar por la seguridad de la
informacin, realizar auditoras de seguridad, elaborar documentos de seguridad como,
polticas, normas; y de llevar un estricto control con la ayuda de los ATI referente a los
servicios prestados y niveles de seguridad aceptados para tales servicios. Este rol es
asumido por la Gerencia de Tecnologa de GI.


2.1.10 Red

Equipos de cmputo, sistemas de informacin y redes de telemtica de Las Empresas.

2.1.11 Responsable de Activos

Personal del rea administrativa de Las Empresas, que velar por la seguridad y correcto
funcionamiento de los activos informticos, as como de la informacin procesada en stos,
dentro de sus respectivas reas. Esta persona debe mantener el inventario fsico al da,
velar por que todos los activos tengan sus respectivas plizas de seguros bajo los
parmetros entregados por La Gerencia.

2.1.12 Solucin Antivirus

Recurso informtico empleado para solucionar problemas causados por virus informticos.

2.1.13 Usuario

Cualquier persona (empleado o no) que haga uso de los servicios de las tecnologas de
informacin proporcionadas por Las Empresas tales como equipos de cmputo, sistemas
de informacin, redes de telemtica.

2.1.14 Virus informtico

Programa ejecutable o pieza de cdigo con habilidad de ejecutarse y reproducirse,
regularmente escondido en documentos electrnicos, que causan problemas al ocupar
espacio de almacenamiento, as como destruccin de datos y reduccin del desempeo de
un equipo de cmputo.

2.2 Alcance

Polticas de Seguridad Informtica
Pgina 7 de 36

Este manual de polticas de seguridad es elaborado de acuerdo al anlisis de riesgos y de
vulnerabilidades en las dependencias de Las Empresas, por consiguiente el alcance de
estas polticas se encuentra sujeto a Las Empresas.

Esta poltica es aplicable a todos los empleados, contratistas, consultores, eventuales y
otros empleados de Las Empresas, incluyendo a todo el personal externo que cuenten con
un equipo conectado a la Red. Esta poltica es aplicable tambin a todo el equipo y servicios
propietarios o arrendados que de alguna manera tengan que utilizar local o remotamente el
uso de la Red o recursos tecnolgicos de Las Empresas as como de los servicios e
intercambio de archivos y programas.

La elaboracin de las Polticas de Seguridad estn fundamentadas bajo la norma ISO/IEC
17799, han sido planteadas, analizadas y revisadas con el fin de no contravenir con las
garantas bsicas de los usuarios, y no pretende ser una camisa de fuerza, y ms bien
muestra una buena forma de operar los sistemas con seguridad, respetando en todo
momento estatutos y reglamentos internos de Las Empresas.

Control de acceso (aplicaciones, base de datos, rea del Centro de Cmputo, sedes
de Las Empresas filiales).
Resguardo de la Informacin.
Clasificacin y control de activos.
Gestin de las redes.
Gestin de la continuidad del negocio.
Seguridad de la Informacin en los puestos de trabajo.
Controles de Cambios.
Proteccin contra intrusin en software en los sistemas de informacin.
Monitoreo de la seguridad.
Identificacin y autenticacin.
Utilizacin de recursos de seguridad.
Comunicaciones.
Privacidad.

2.3 Objetivos

Dotar de la informacin necesaria a los usuarios, empleados y gerentes, de las normas y
mecanismos que deben cumplir y utilizar para proteger el hardware y software de la Red,
as como la informacin que es procesada y almacenada en estos.

Planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad
fsica de los recursos informticos, as como resguardar los activos de Las Empresas.

Los objetivos que se desean alcanzar luego de implantar las Polticas de Seguridad son los
siguientes:

Establecer un esquema de seguridad con perfecta claridad y transparencia bajo la
responsabilidad de los ATI en la administracin del riesgo.
Compromiso de todo el personal de Las Empresas con el proceso de seguridad,
agilizando la aplicacin de los controles.
Polticas de Seguridad Informtica
Pgina 8 de 36

Que la prestacin del servicio de seguridad gane en calidad.
Todos los empleados se convierten en interventores del sistema de seguridad.

2.4 Vigencia

Todas estas amenazas estn en continuo proceso de expansin, lo que, unido al progresivo
aumento de los sistemas de informacin y dependencia del negocio, hace que todos los
sistemas y aplicaciones estn expuestos a riesgos cada vez mayores, que sin una
adecuada gestin de los mismos, pueden ocasionar que su vulnerabilidad se incremente y
consiguientemente los activos se vean afectados. Todo empleado es responsable del
cumplimiento de los estndares, directrices y procedimientos de control de acceso, as
como tambin notificar a su nivel jerrquico superior, cuando por algn motivo no pueda
cumplir con las Polticas de Seguridad indicando el motivo por el cual no le es posible
apegarse a la normativa de seguridad. Cabe destacar que este nivel de responsabilidad va
a ser conocido por las diferentes reas de Las Empresas quienes sern las garantes de
que esta informacin sea conocida por cada integrante de rea.

La documentacin presentada como Polticas de Seguridad entrar en vigencia desde el
momento en que sean aprobadas por la Gerencia. Esta normativa deber ser revisada y
actualizada conforme a las exigencias de Las Empresas o en el momento en que haya la
necesidad de realizar cambios sustanciales en la infraestructura tecnolgica.

2.5 Notificaciones de violaciones de seguridad

Es de carcter obligatorio para todo el personal (Fijo, Contratado), la notificacin inmediata
de algn problema o violacin de la seguridad, del cual fuere testigo; esta notificacin debe
realizarse por escrito va correo electrnico a La Gerencia y/o a los ATI y/o a la Gerencia
de Contralora, quienes estn en la obligacin de realizar las gestiones pertinentes al caso
y de ser cierta la sospecha tomar las medidas adecuadas para solucionar el incidente.
Es responsabilidad de todo empleado que maneje datos o informacin a travs de accesos
debidamente autorizados, el cumplimiento de las polticas de control de acceso, puesto que
estas descansan en el establecimiento de responsabilidades donde se incurra en alguna
violacin en materia de seguridad acarreando sanciones a quien las haya causado, puesto
que esto ocasionara perjuicios econmicos a Las Empresas de diversa consideracin. Es
por ello que las personas relacionadas de cualquier forma con los procesos tecnolgicos
deben ser conscientes y asumir que la seguridad es asunto de todos y, por tanto, se debe
conocer y respetar las Polticas de Seguridad.
Est fundamentado como una exigencia que el personal de la organizacin conozca sus
responsabilidades, sanciones y medidas a tomar al momento de incurrir en alguna violacin
o falta, escrita en las Polticas de Seguridad firmado por el empleado o proveedor o
cualquier empresa del grupo. Por esta razn se entender que slo una adecuada poltica
de seguridad tecnolgica apoyar la concientizacin para obtener la colaboracin de los
empleados, hacindoles conscientes de los riesgos que podemos correr y de la importancia
del cumplimiento de las normas.
Polticas de Seguridad Informtica
Pgina 9 de 36

2.6 Lineamientos para la adquisicin de bienes informticos

Toda adquisicin de tecnologa informtica se efectuar a travs del Comit. Los ATI, al
planear las operaciones relativas a la adquisicin de bienes informticos, establecern
prioridades y en su seleccin deber tomar en cuenta:

2.6.1 Precio

Costo inicial, costo de mantenimiento y consumibles por el perodo estimado de uso de los
equipos.

2.6.2 Calidad

Parmetro cualitativo que especifica las caractersticas tcnicas de los recursos
informticos.

2.6.3 Experiencia

Presencia en el mercado, estructura de servicio, la confiabilidad de los bienes y certificados
de calidad con los que se cuente.

2.6.4 Desarrollo Tecnolgico

Se deber analizar su grado de obsolescencia, su nivel tecnolgico con respecto a la oferta
existente y su permanencia en el mercado.

2.6.5 Estndares

Toda adquisicin se basa en los estndares, es decir la arquitectura de grupo empresarial
establecida por el Comit. Esta arquitectura tiene una permanencia mnima de dos a cinco
aos.

2.6.6 Capacidades

Se deber analizar si satisface la demanda actual con un margen de holgura y capacidad
de crecimiento para soportar la carga de trabajo del rea. Para la adquisicin de Hardware
se tendr en cuenta lo siguiente:

Polticas de Seguridad Informtica
Pgina 10 de 36

El equipo que se desee adquirir deber estar dentro de las listas de ventas
vigentes de los fabricantes y/o distribuidores del mismo y dentro de los estndares
de Las Empresa.
Los equipos complementarios debern tener una garanta mnima de un ao y
debern contar con el servicio tcnico correspondiente en el pas.
Debern ser equipos integrados de fbrica o ensamblados con componentes
previamente evaluados por el Comit.
La marca de los equipos o componentes deber contar con presencia y
permanencia demostrada en el mercado nacional, as como con asistencia tcnica
y de repuestos local. Tratndose de microcomputadores, a fin de mantener
actualizada la arquitectura informtica de Las Empresas, el Comit emitir
peridicamente las especificaciones tcnicas mnimas para su adquisicin.
Los dispositivos de almacenamiento, as como las interfaces de entrada / salida,
debern estar acordes con la tecnologa de punta vigente, tanto en velocidad de
transferencia de datos, como en procesamiento.
Las impresoras debern apegarse a los estndares de Hardware y Software
vigentes en el mercado y en Las Empresas, corroborando que los suministros
(cintas, papel, etc.) se consigan fcilmente en el mercado y no estn sujetas a un
solo proveedor.
Conjuntamente con los equipos, se deber adquirir el equipo complementario
adecuado para su correcto funcionamiento de acuerdo con las especificaciones de
los fabricantes, y que esta adquisicin se manifieste en el costo de la partida inicial.
Los equipos adquiridos deben contar con asistencia tcnica durante la instalacin
de los mismos.
En lo que se refiere a los servidores, equipos de comunicaciones, concentradores,
switches y otros equipos que se justifiquen por ser de operacin crtica y/o de alto
costo, deben de contar con un programa de mantenimiento preventivo y correctivo
que incluya el suministro de repuestos al vencer su perodo de garanta.
En lo que se refiere a los computadores personales, al vencer su garanta por
adquisicin, debern de contar por lo menos con un programa de servicio de
mantenimiento correctivo que incluya el suministro de repuestos.
Todo proyecto de adquisicin de bienes de tecnologa, debe sujetarse al anlisis,
aprobacin y autorizacin del Comit.

2.6.7 Software

En la adquisicin de Equipo de cmputo se deber incluir el Software vigente precargado
con su licencia correspondiente.

Para la adquisicin de Software base y utilitarios, el Comit dar a conocer peridicamente
las tendencias con tecnologa de punta vigente, siendo la principal lista de productos
autorizados la siguiente:

2.6.7.1 Sistemas Operativos

MS-Windows
Mac OS-X
Polticas de Seguridad Informtica
Pgina 11 de 36


2.6.7.2 Bases de Datos

MS-SQL
MySQL

2.6.7.3 Lenguajes y herramientas de programacin

MS .NET
PHP
Dreamweaver
Fireworks

2.6.7.4 Utilitarios de oficina

Microsoft Office
Oppen Office
iWork

2.6.7.5 Programas antivirus

Symantec

2.6.7.6 Correo electrnico

Google Apps

2.6.7.7 Navegadores de Internet

Internet Explorer
Mozilla Firefox
Google Chrome

2.6.7.8 Diseo

Adobe Creative Suite
Cinema 4D

Polticas de Seguridad Informtica
Pgina 12 de 36

2.7 Licenciamiento

Todos los productos de Software que se utilicen debern contar con su factura y
licencia de uso respectiva; por lo que se promover la regularizacin o eliminacin
de los productos que no cuenten con el debido licenciamiento.
El rea de Tecnologa promover y propiciar que la adquisicin de software de
dominio pblico provenga de sitios oficiales y seguros.

2.8 Bases de datos

Para la operacin del software de red en caso de manejar los datos empresariales mediante
sistemas de informacin, se deber tener en consideracin lo siguiente:

Toda la informacin de Las Empresas deber invariablemente ser operada a travs
de un mismo tipo de sistema manejador de base de datos para beneficiarse de los
mecanismos de integridad, seguridad y recuperacin de informacin en caso de
presentarse alguna falla.
El acceso a los sistemas de informacin, deber contar con los privilegios o
niveles de seguridad de acceso suficientes para garantizar la seguridad total de la
informacin de Las Empresas. Los niveles de seguridad de acceso debern
controlarse por un administrador nico y poder ser manipulado por software.
Se deben delimitar las responsabilidades en cuanto a quin est autorizado
a consultar y/o modificar en cada caso la informacin, tomando las medidas de
seguridad pertinentes.
Los datos de los sistemas de informacin, deben ser respaldados de acuerdo a la
frecuencia de actualizacin de sus datos, guardando respaldos histricos
peridicamente. Es indispensable llevar una bitcora oficial de los respaldos
realizados, asimismo, los CDs, DVDs, Blue Ray de respaldo debern guardarse en
un lugar de acceso restringido con condiciones ambientales suficientes para
garantizar su conservacin. En cuanto a la informacin de los equipos de cmputo
personales, se recomienda a los usuarios que realicen sus propios respaldos en los
servidores de respaldo externo (Google Drive) o en medios de almacenamiento
alternos.
Todos los sistemas de informacin que se tengan en operacin, deben contar con
sus respectivos manuales actualizados. Un tcnico que describa la estructura
interna del sistema as como los programas, catlogos y archivos que lo conforman
y otro que describa a los usuarios del sistema y los procedimientos para su
utilizacin.
Los sistemas de informacin, deben contemplar el registro histrico de las
transacciones sobre datos relevantes, as como la clave del usuario y fecha en que
se realiz (Normas Bsicas de Auditoria y Control).
Se deben implantar rutinas peridicas de auditoria a la integridad de los datos y de
los programas de cmputo, para garantizar su confiabilidad.
2.9 Frecuencia de evaluacin de las polticas.

Se evaluarn las polticas del presente documento, con una frecuencia anual por el Comit

Polticas de Seguridad Informtica
Pgina 13 de 36

Las polticas sern evaluadas por los ATI con una frecuencia semestral.

Polticas de Seguridad Informtica
Pgina 14 de 36

3 POLITICAS DE SEGURIDAD FISICA

3.1 Acceso Fsico

Las Empresas destinarn un rea que servir como centro de telecomunicaciones donde
ubicarn los sistemas de telecomunicaciones y servidores.

Todos los sistemas de comunicaciones estarn debidamente protegidos con la
infraestructura apropiada de manera que el usuario no tenga acceso fsico directo.
Entendiendo por sistema de comunicaciones: el equipo activo y los medios de
comunicacin.

El acceso de terceras personas debe ser identificado plenamente, controlado y vigilado
durante el acceso portando una identificacin que les ser asignado por el rea de
seguridad de acceso al edificio y a las oficinas de Las Empresas.

Las visitas internas o externas podrn acceder a las reas restringidas siempre y cuando
se encuentren acompaadas cuando menos por un responsable del rea de tecnologa o
con permiso de los ATI.

Las visitas a las instalaciones fsicas de los centros de telecomunicaciones se harn en el
horario establecido.

El personal autorizado para mover, cambiar o extraer equipo de cmputo es el poseedor
del mismo o el superior responsable o los ATI, a travs de formatos de autorizacin de
Entrada/Salida, los cuales notificarn a las personas delegadas del rea Administrativa de
Las Empresas y al personal de seguridad del edificio.
3.2 Proteccin Fsica
3.2.1 Data Center

El DataCenter deber:

Tener una puerta de acceso de vidrio templado transparente, para favorecer el
control del uso de los recursos de cmputo.
Ser un rea restringida. Tener un sistema de control de acceso que garantice la
entrada solo al personal autorizado por la gerencia de Tecnologa.
Recibir limpieza al menos una vez por semana, que permita mantenerse libre de
polvo.
Estar libre de contactos e instalaciones elctricas en mal estado
Aire acondicionado. Mantener la temperatura a 21 grados centgrados.
Asignar un tcnico para que realice un control diario temperatura y aires
acondicionados y llevar un registro de estos controles.
Respaldo de energa redundante.
Seguir los estndares de proteccin elctrica vigentes para minimizar el riesgo de
daos fsicos de los equipos de telecomunicaciones y servidores.
Polticas de Seguridad Informtica
Pgina 15 de 36

Los sistemas de tierra fsica, sistemas de proteccin e instalaciones elctricas
debern recibir mantenimiento anual con el fin de determinar la efectividad del
sistema.
Contar con algn esquema que asegure la continuidad del servicio.
Control de humedad
Prevencin y/o deteccin de incendios
Sistemas de extincin.
Contar por lo menos con dos extintores de incendio adecuado y cercano al
DataCenter.
3.2.2 Infraestructura

Las dependencias debern considerar los estndares vigentes de cableado estructurado
durante el diseo de nuevas reas o en el crecimiento de las reas existentes.
El resguardo de los equipos de cmputo deber quedar bajo el rea de Tecnologa
contando con un control de los equipos que permita conocer siempre la ubicacin fsica de
los mismos.
3.3 Instalaciones de equipos de cmputo

La instalacin del equipo de cmputo, quedar sujeta a los siguientes lineamientos:

Los equipos para uso interno se instalarn en lugares adecuados, lejos de
polvo y trfico de personas.
El rea de Tecnologa, as como las reas operativas debern contar con un plano
actualizado de las instalaciones elctricas y de comunicaciones del equipo de
cmputo en red.
Las instalaciones elctricas y de comunicaciones, estarn preferiblemente
fijas o en su defecto resguardadas del paso de personas o materiales, y libres de
cualquier interferencia elctrica o magntica.
Las instalaciones se apegarn estrictamente a los requerimientos de los equipos,
cuidando las especificaciones del cableado y de los circuitos de proteccin
necesarios.
En ningn caso se permitirn instalaciones improvisadas o sobrecargadas.
La supervisin y control de las instalaciones se llevar a cabo en los plazos y
mediante los mecanismos que establezca el Comit.

3.4 Control

Los ATI deben llevar un control total y sistematizado de los recursos de cmputo y
licenciamiento.
Los encargados del rea de tecnologa son los responsables de organizar al
personal encargado del mantenimiento preventivo y correctivo de los equipos de
cmputo.
El rea de Recursos Humanos de GI deber reportar a los ATI cuando un usuario
deje de laborar o de tener una relacin con Las Empresas con el fin de retirarle las
Polticas de Seguridad Informtica
Pgina 16 de 36

credenciales de ingreso a los recursos y supervisar la correcta devolucin de los
equipos y recursos asignados al usuario.
El usuario, en caso de retiro, deber tramitar ante el rea de Tecnologa el paz y
salvo correspondiente.

3.5 Respaldos

Las Bases de Datos de Las Empresas sern respaldadas peridicamente en forma
automtica y manual, segn los procedimientos generados para tal efecto.
Las Bases de Datos debern tener una rplica en uno o ms equipos remotos
alojados en un lugar seguro (Cloud) que permita tener contingencia y continuidad
de negocio.
Los servidores de contingencia de Bases de Datos y aplicaciones estarn alojados
en Amazon WS.
Los servidores de hosting estarn alojados en Godaddy.
Los dems respaldos (una copia completa) debern ser almacenados en un lugar
seguro y distante del sitio de trabajo, en bodegas con los estndares de calidad para
almacenamiento de medios magnticos.
La empresa contratada para estos fines ser Alarchivo.
Para reforzar la seguridad de la informacin, los usuarios, bajo su criterio, debern
hacer respaldos de la informacin en sus discos duros frecuentemente,
dependiendo de la importancia y frecuencia de cambio; y en las unidades de
almacenamiento asignadas por Las Empresas en La Nube (Google Drive), deber
realizar una sincronizacin continua de la informacin importante de Las Empresas.
Los respaldos sern responsabilidad absoluta de los usuarios
Los ATI no podrn remover del sistema ninguna informacin de cuentas
individuales, a menos que la informacin sea de carcter ilegal, o ponga en peligro
el buen funcionamiento de los sistemas, o se sospeche de algn intruso utilizando
una cuenta ajena.
3.6 Recursos de los usuarios

3.6.1 Uso

Los usuarios debern cuidar, respetar y hacer un uso adecuado de los recursos de
cmputo y Red de Las Empresas, de acuerdo con las polticas que en este
documento se mencionan.
Los usuarios debern solicitar apoyo al rea de Tecnologa ante cualquier duda en
el manejo de los recursos de cmputo de Las Empresas.
El correo electrnico no se deber usar para envo masivo, materiales de uso no
institucional o innecesarios (entindase por correo masivo todo aquel que sea ajeno
a la Las Empresas, tales como cadenas, publicidad y propaganda comercial,
poltica, social, etctera).


Polticas de Seguridad Informtica
Pgina 17 de 36

3.6.2 Derechos de Autor

Queda estrictamente prohibido inspeccionar, copiar y almacenar programas de cmputo,
software y dems fuentes que violen la ley de derechos de autor, para tal efecto todos los
usuarios debern firmar un documento donde se comprometan, bajo su responsabilidad, a
no usar programas de software que violen la ley de derechos de autor.

Para asegurarse de no violar los derechos de autor, no est permitido a los usuarios copiar
ningn programa instalado en los computadores de las Empresas bajo ninguna
circunstancia sin la autorizacin escrita de la Gerencia o de la Gerencia de Tecnologa de
GI. No est permitido instalar ningn programa en su computadora sin dicha autorizacin o
la clara verificacin de que La Empresa posee una licencia que cubre dicha instalacin.
No est autorizada la descarga de Internet de programas informticos no
autorizados por La Gerencia o la Gerencia de Tecnologa de GI.
No se tolerar que un empleado realice copias no autorizadas de programas
informticos.
No se tolerar que un empleado cargue o descargue programas informticos no
autorizados de Internet, incluidos entre otros la descarga de programas informticos
para utilizar sistemas de peer-to-peer (P2P Ej. Kazaa) que pueden utilizarse para
comercializar trabajos protegidos por los derechos de autor.
No se tolerar un empleado realice intercambios o descargas de archivos digitales
de msica (MP3, WAV, etc) de los cuales no es el autor o bien no posee los derechos
de distribucin del mismo.
Si se descubre que un empleado ha copiado programas informticos o msica en
forma ilegal, este puede ser sancionado, suspendido o despedido.
Si se descubre que un empleado ha copiado programas informticos en forma ilegal
para drselos a un tercero, tambin puede ser sancionado, suspendido o despedido.
Si un usuario desea utilizar programas informticos autorizados por Las Empresas
en su hogar, debe consultar con los ATI para asegurarse de que ese uso est
permitido por la licencia del editor.
El personal encargado de soporte de Tecnologa revisarn las computadoras
constantemente para realizar un inventario de las instalaciones de programas
informticos y determinar si Las Empresas poseen licencias para cada una de las
copias de los programas informticos instalados.
Si se encuentran copias sin licencias, estas sern eliminadas y, de ser necesario,
reemplazadas por copias con licencia.
Las Empresas autorizan el uso de programas informticos de diversas empresas
externas. Las Empresas no son dueas de estos programas informticos o la
documentacin vinculada con ellos y, a menos que cuente con la autorizacin del
creador de los programas informticos, no tiene derecho a reproducirlos excepto
con fines de respaldo.
Los usuarios utilizarn los programas informticos slo en virtud de los acuerdos de
licencia y no instalarn copias no autorizadas de los programas informticos
comerciales.
Los usuarios no descargarn ni cargarn programas informticos no autorizados a
travs de Internet.
Los usuarios no realizarn intercambios o descargas de archivos digitales de msica
(MP3, WAV, etc) de los cuales no es el autor o bien no posee los derechos de
distribucin del mismo.
Polticas de Seguridad Informtica
Pgina 18 de 36

Los usuarios que se enteren de cualquier uso inadecuado que se haga en Las
Empresas de los programas informticos o la documentacin vinculada a estos,
debern notificar al Gerente o Director del rea en la que trabajan o al asesor legal
de Las Empresas.
Segn las leyes vigentes de derechos de autor, las personas involucradas en la
reproduccin ilegal de programas informticos pueden estar sujetas a sanciones
civiles y penales, incluidas multas y prisin. No se permite la duplicacin ilegal de
programas informticos.
Los empleados que realicen, adquieran o utilicen copias no autorizadas de
programas informticos estarn sujetos a sanciones disciplinarias internas de
acuerdo a las circunstancias. Dichas sanciones pueden incluir suspensiones y
despidos justificados.

Polticas de Seguridad Informtica
Pgina 19 de 36

4 POLITICAS DE SEGURIDAD LOGICA

4.1 Red

Las redes tienen como propsito principal servir en la transformacin e intercambio
de informacin dentro de Las Empresa entre usuarios, departamentos, oficinas y
hacia afuera a travs de conexiones con otras redes o con las empresas del Grupo.
El rea de Tecnologa no es responsable por el contenido de datos ni por el trfico
que en ella circule, la responsabilidad recae directamente sobre el usuario que los
genere o solicite.
Nadie puede ver, copiar, alterar o destruir la informacin que reside en los equipos
sin el consentimiento explcito del responsable del equipo.
No se permite el uso de los servicios de la red cuando no cumplan con las labores
propias de Las Empresas.
Las cuentas de ingreso a los sistemas y los recursos de cmputo son propiedad de
Las Empresas y se usarn exclusivamente para actividades relacionadas con la
labor asignada.
Todas las cuentas de acceso a los sistemas y recursos de las tecnologas de
informacin son personales e intransferibles. Se permite su uso nica y
exclusivamente durante la vigencia de derechos del usuario.
El uso de analizadores de red es permitido nica y exclusivamente por los ATI para
monitorear la funcionalidad de las redes, contribuyendo a la consolidacin del
sistema de seguridad bajo las Polticas de Seguridad.
No se permitir el uso de analizadores para monitorear o censar redes ajenas a Las
Empresas y no se debern realizar anlisis de la Red desde equipos externos a la
entidad.
Cuando se detecte un uso no aceptable, se cancelar la cuenta o se desconectar
temporal o permanentemente al usuario o red involucrada dependiendo de las
polticas. La reconexin se har en cuanto se considere que el uso no aceptable se
ha suspendido.
4.2 Servidores

4.2.1 Configuracin e instalacin

Los ATI tiene la responsabilidad de verificar la instalacin, configuracin e implementacin
de seguridad, en los servidores conectados a la Red.
La instalacin y/o configuracin de todo servidor conectado a la Red ser
responsabilidad de los ATI.
Durante la configuracin de los servidores los ATI deben genera las normas para el
uso de los recursos del sistema y de la red, principalmente la restriccin de
directorios, permisos y programas a ser ejecutados por los usuarios.
Los servidores que proporcionen servicios a travs de la red e Internet debern:
o Funcionar 24 horas del da los 365 das del ao.
o Recibir mantenimiento preventivo mnimo dos veces al ao
Polticas de Seguridad Informtica
Pgina 20 de 36

o Recibir mantenimiento semestral que incluya depuracin de logs.
o Recibir mantenimiento anual que incluya la revisin de su configuracin.
o Ser monitoreados por los ATI.
La informacin de los servidores deber ser respaldada de acuerdo con los
siguientes criterios, como mnimo:
o Diariamente, informacin crtica.
o Semanalmente, los documentos web.
o Mensualmente, configuracin del servidor y logs.

Los servicios hacia Internet slo podrn proveerse a travs de los servidores
autorizados por los ATI.

4.2.2 Correo Electrnico

Los ATI se encargarn de asignar las cuentas a los usuarios para el uso de correo
electrnico en los servidores que administra.
Para efecto de asignarle su cuenta de correo al usuario, el rea de Recursos
Humanos deber llenar una solicitud en formato establecido para tal fin y entregarlo
al rea de Tecnologa, con su firma y la del Gerente del rea.
La cuenta ser activada en el momento en que el usuario ingrese por primera vez a
su correo y ser obligatorio el cambio de la contrasea de acceso inicialmente
asignada.
La longitud mnima de las contraseas ser igual o superior a ocho caracteres.

4.2.3 Bases de Datos

El Administrador de la Base de Datos no deber eliminar ninguna informacin del
sistema, a menos que la informacin est daada o ponga en peligro el buen
funcionamiento del sistema.
El Administrador de la Base de Datos es el encargado de asignar las cuentas a los
usuarios para el uso.
Las contraseas sern asignadas por el Administrador de la Base de Datos en el
momento en que el usuario desee activar su cuenta, previa solicitud al responsable
de acuerdo con el procedimiento generado.
En caso de olvido de contrasea de un usuario, ser necesario que se presente con
el Administrador de la Base de Datos para reasignarle su contrasea.
La longitud mnima de las contraseas ser igual o superior a ocho caracteres, y
estarn constituidas por combinacin de caracteres alfabticos, numricos y
especiales.

4.3 Recursos de Cmputo

4.3.1 Seguridad de cmputo

Polticas de Seguridad Informtica
Pgina 21 de 36

Los ATI son los encargados de suministrar medidas de seguridad adecuadas contra
la intrusin o daos a la informacin almacenada en los sistemas as como la
instalacin de cualquier herramienta, dispositivo o software que refuerce la
seguridad en cmputo. Sin embargo, debido a la cantidad de usuarios y a la amplitud
y constante innovacin de los mecanismos de ataque no es posible garantizar una
seguridad completa.
Los ATI deben mantener informados a los usuarios y poner a disposicin de los
mismos el software que refuerce la seguridad de los sistemas de cmputo.
Los ATI son los nicos autorizados para monitorear constantemente el trfico de
paquetes sobre la red, con el fin de detectar y solucionar anomalas, registrar usos
indebidos o cualquier falla que provoque problemas en los servicios de la red.
4.3.2 Ingenieros de Soporte

Los Ingenieros de Soporte tendrn las siguientes atribuciones y/o responsabilidades:
Podrn ingresar de forma remota a computadoras nica y exclusivamente para la
solucin de problemas y bajo solicitud explcita del propietario de la computadora.
Debern utilizar los analizadores previa autorizacin del usuario y bajo la
supervisin de ste, informando de los propsitos y los resultados obtenidos.
Debern realizar respaldos peridicos de la informacin de los recursos de cmputo
que tenga a su cargo, siempre y cuando se cuente con dispositivos de respaldo.
Deben actualizar la informacin de los recursos de cmputo de Las Empresas, cada
vez que adquiera e instale equipos o software.
Deben registrar cada mquina en el inventario de control de equipos de cmputo y
red de Las Empresas.
Deben auditar peridicamente y sin previo aviso los sistemas y los servicios de red,
para verificar la existencia de archivos no autorizados, msica, configuraciones no
vlidas o permisos extra que pongan en riesgo la seguridad de la informacin.
Realizar la instalacin o adaptacin de sus sistemas de cmputo de acuerdo con
los requerimientos en materia de seguridad.
Reportar a la Gerencia los incidentes de violacin de seguridad, junto con cualquier
experiencia o informacin que ayude a fortalecer la seguridad de los sistemas de
cmputo.

4.3.3 Renovacin de equipos

Se debern definir los tiempos estimados de vida til de los equipos de cmputo y
telecomunicaciones para programar con anticipacin su renovacin.
Cuando las reas requieran de un equipo para el desempeo de sus funciones ya
sea por sustitucin o para el mejor desempeo de sus actividades, estas debern
realizar una consulta al rea de Tecnologa a fin de que se seleccione el equipo
adecuado. Sin el visto bueno de Tecnologa no podr liberarse una orden de
compra.
Polticas de Seguridad Informtica
Pgina 22 de 36

4.4 Uso de Servicios de Red

4.4.1 Gerencias y Sedes

La Gerencia definir los servicios de Internet a ofrecer a los usuarios y se coordinar
con los ATI para su otorgamiento y configuracin.
La Gerencia puede utilizar la infraestructura de la Red para proveer servicios a los
usuarios externos y/o visitas previa autorizacin los ATI.
Los ATI son los responsables de la administracin de contraseas y debern
guardar su confidencialidad, siguiendo el procedimiento para manejo de
contraseas.
No se darn equipo, contraseas ni cuentas de correo a personas que presten
servicio social o estn haciendo prcticas profesionales en Las Empresas, excepto
por orden expresa de La Gerencia.
Los ATI realizarn las siguientes actividades en los servidores de Las Empresas.
Respaldo de informacin conforme a los procedimientos establecidos.
Revisin de logs y reporte de cualquier eventualidad.
Implementar de forma inmediata las recomendaciones de seguridad y reportar
posibles faltas a las polticas de seguridad en cmputo.
Monitoreo de los servicios de red proporcionados por los servidores a su cargo.
Organizar y supervisar al personal encargado del mantenimiento preventivo y
correctivo de los servidores.
Los ATI son los nicos autorizado para asignar las cuentas a los usuarios.
Los ATI podrn aislar cualquier servidor de red, notificando a las Gerencias y reas
de la entidad, en las condiciones siguientes:
o Si los servicios proporcionados por el servidor implican un trfico adicional
que impida un buen desempeo de la Red.
o Si se detecta la utilizacin de vulnerabilidades que puedan comprometer la
seguridad en la Red.
o Si se detecta la utilizacin de programas que alteren la legalidad y/o
consistencia de los servidores.
o Si se detectan accesos no autorizados que comprometan la integridad de la
informacin.
o Si se viola las polticas de uso de los servidores.
o Si se reporta un trfico adicional que comprometa a la red de Las Empresas.

4.4.2 Usuarios
4.4.2.1 Identificacin de Usuarios y contraseas

Todos los usuarios con acceso a un sistema de informacin o a la Red, dispondrn
de una nica autorizacin de acceso compuesta de identificador de usuario y
contrasea.
Ningn usuario recibir un identificador de acceso a la Red, Recursos Informticos
o Aplicaciones hasta que no acepte formalmente la Poltica de Seguridad vigente.
Polticas de Seguridad Informtica
Pgina 23 de 36

El usuario deber definir su contrasea de acuerdo al procedimiento establecido
para tal efecto y ser responsable de la confidencialidad de la misma.
Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recurso que
precisen para el desarrollo de sus funciones, conforme a los criterios establecidos
por La Gerencia.
La longitud mnima de las contraseas ser igual o superior a ocho caracteres, y
estarn constituidas por combinacin de caracteres alfabticos, numricos y
especiales.
Los identificadores para usuarios temporales se configurarn para un corto perodo
de tiempo. Una vez expirado dicho perodo, se desactivarn de los sistemas.
El usuario deber renovar su contrasea y colaborar en lo que sea necesario, a
solicitud de los ATI, con el fin de contribuir a la seguridad de los servidores en los
siguientes casos:
o Cuando sta sea una contrasea dbil o de fcil acceso.
o Cuando crea que ha sido violada la contrasea de alguna manera.
El usuario deber notificar a los ATI en los siguientes casos:
o Si observa cualquier comportamiento anormal (mensajes extraos, lentitud
en el servicio o alguna situacin inusual) en el servidor.
o Si tiene problemas en el acceso a los servicios proporcionados por el
servidor.
Si un usuario viola las polticas de uso de los servidores, los ATI podrn cancelar
totalmente su cuenta de acceso a los servidores, notificando a La Gerencia
correspondiente.

4.4.2.2 Responsabilidades Personales

Los usuarios son responsables de toda actividad relacionada con el uso de su
acceso autorizado.
Los usuarios no deben revelar bajo ningn concepto su identificador y/o contrasea
a otra persona ni mantenerla por escrito a la vista, ni al alcance de terceros.
Los usuarios no deben utilizar ningn acceso autorizado de otro usuario, aunque
dispongan de la autorizacin del propietario.
Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario
y contrasea) est siendo utilizado por otra persona, debe proceder al cambio de su
contrasea e informar a su jefe inmediato y ste reportar al responsable de la
administracin de la red.
El Usuario debe utilizar una contrasea compuesta por un mnimo de ocho
caracteres constituida por una combinacin de caracteres alfabticos, numricos y
especiales.
La contrasea no debe hacer referencia a ningn concepto, objeto o idea
reconocible. Por tanto, se debe evitar utilizar en las contraseas fechas
significativas, das de la semana, meses del ao, nombres de personas, telfonos.
En caso que el sistema no lo solicite automticamente, el usuario debe cambiar la
contrasea provisional asignada la primera vez que realiza un acceso vlido al
sistema.
En el caso que el sistema no lo solicite automticamente, el usuario debe cambiar
su contrasea como mnimo una vez cada 30 das. En caso contrario, se le podr
Polticas de Seguridad Informtica
Pgina 24 de 36

denegar el acceso y se deber contactar con el jefe inmediato para solicitar al
administrador de la red una nueva clave.
Proteger, en la medida de sus posibilidades, los datos de carcter personal a los
que tienen acceso, contra revelaciones no autorizadas o accidentales, modificacin,
destruccin o mal uso, cualquiera que sea el soporte en que se encuentren
contenidos los datos.
Guardar por tiempo indefinido la mxima reserva y no se debe emitir al exterior datos
de carcter personal contenidos en cualquier tipo de soporte.
Utilizar el menor nmero de listados que contengan datos de carcter personal y
mantener los mismos en lugar seguro y fuera del alcance de terceros.
Cuando entre en posesin de datos de carcter personal, se entiende que dicha
posesin es estrictamente temporal, y debe devolver los soportes que contienen los
datos inmediatamente despus de la finalizacin de las tareas que han originado el
uso temporal de los mismos.
Los usuarios slo podrn crear ficheros que contengan datos de carcter personal
para un uso temporal y siempre necesario para el desempeo de su trabajo. Estos
ficheros temporales nunca sern ubicados en unidades locales de disco del equipo
de trabajo y deben ser destruidos cuando hayan dejado de ser tiles para la finalidad
para la que se crearon.
4.4.2.3 Uso Apropiado de los Recursos

Los Recursos Informticos, Datos, Software, Red y Sistemas de Comunicacin estn
disponibles exclusivamente para cumplimentar las obligaciones y propsito de la operativa
para la que fueron diseados e implantados. Todo el personal usuario de dichos recursos
debe saber que no tiene el derecho de confidencialidad en su uso.
4.4.2.3.1 Queda Prohibido

El uso de estos recursos para actividades no relacionadas con el propsito del
negocio, o bien con la extralimitacin en su uso.
Las actividades, equipos o aplicaciones que no estn directamente especificados
como parte del Software o de los Estndares de los Recursos Informticos propios
de Las Empresas.
Introducir en los Sistemas de Informacin o la Red Corporativa contenidos
obscenos, amenazadores, inmorales u ofensivos.
Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o
cualquier otro dispositivo lgico o secuencia de caracteres que causen o sean
susceptibles de causar cualquier tipo de alteracin o dao en los Recursos
Informticos.
Intentar destruir, alterar, inutilizar o cualquier otra forma de daar los datos,
programas o documentos electrnicos.
Albergar datos de carcter personal en las unidades locales de disco de los
computadores de trabajo.
Cualquier fichero introducido en la Red o en el puesto de trabajo del usuario a travs
de soportes automatizados, internet, correo electrnico o cualquier otro medio,
deber cumplir los requisitos establecidos en estas Polticas y, en especial, las
referidas a propiedad intelectual y control de virus.
Polticas de Seguridad Informtica
Pgina 25 de 36


4.5 Antivirus

4.5.1 Antivirus de la Red

Todos los equipos de cmputo de Las Empresas debern tener instalada una
Solucin Antivirus.
Peridicamente se har el rastreo en los equipos de cmputo de Las Empresas, y
se realizar la actualizacin de las firmas de antivirus proporcionadas por el
fabricante de la solucin antivirus en los equipos conectados a la Red.

4.5.2 Responsabilidad de los ATI

Los ATI sern responsables de:

Implementar la Solucin Antivirus en las computadoras de Las Empresas.
Solucionar contingencias presentadas ante el surgimiento de virus que la solucin
no se haya detectado automticamente.
Configurar el analizador de red para la deteccin de virus.
Los ATI aislarn el equipo o red, notificando a la Gerencia correspondiente, en las
condiciones siguientes:
o Cuando la contingencia con virus no es controlada, con el fin de evitar la
propagacin del virus a otros equipos y redes.
o Si el usuario viola las polticas antivirus.
o Cada vez que los usuarios requieran hacer uso de discos, USBs, stos
sern rastreados por la Solucin Antivirus en la computadora del usuario o
en un equipo designado para tal efecto en las reas de cmputo de las
dependencias.
En caso de contingencia con virus los ATI debern seguir el procedimiento
establecido.

La solucin corporativa de seguridad de antivirus es Symantec EndPoint Protection
Manager Versin 12.1 (SEPM), Esta solucin integra herramientas Antivirus, antispyware,
firewall y prevencin contra intrusiones, adems de control de dispositivos y aplicaciones
usando un nico agente multiplataforma (Windows, Mac, Linux) para todos los clientes y
gestionado mediante una consola central con motor de base de datos Microsoft SQL.
Complementando el servicio antivirus se implementar el servicio LiveUpdate Administrator
(LUA), como repositorio central de actualizacin para toda la plataforma antivirus, facilitando
la gestin de descarga y distribucin actualizaciones permitiendo que todos los equipos de
Las Empresas tengan las ltimas versiones y parches emitidos por el fabricante.
4.5.3 Cobertura

Con SEPM se da cobertura a los siguientes sistemas operativos:
Polticas de Seguridad Informtica
Pgina 26 de 36

4.5.3.1 Clientes

Microsoft: Windows XP / VISTA / 7 en versiones 32 y 64 bits.
Apple: Mac OS X 10.4 / 10.5 / 10.6 / 10.7 / 10.8

4.5.3.2 Servidores

Microsoft: Windows 2003 Standard /Enterprise Edition, Windows 2008 R2 / Standard
/ Enterprise Edition en distribution 32 y 64 Bits.
Apple: Mac OS X Server 10.7 64 Bits

Para simplificar la instalacin del agente SEPM, se pondr a disposicin del equipo de
soporte los agentes de instalacin clasificados como Desktop, Porttiles y Servers en
versiones:
Windows: Instalador interactivo y Silencioso en versiones 32 y 64 bits.
Mac OS X (instalador nico vlido para Mac OSX 10.5 o superior)

Y un instalador especifico Mac 104 el cual corresponde al paquete de instalacin SEMP
versin 11.7 con Archivos de configuracin Sylink para conexin a consola SEMP 12.1.

4.5.4 Polticas Antivirus

Todos los equipos de cmputo conectados a la red corporativa deben tener instalado y
debidamente actualizado SEPM, con el fin de que esto sea cumplido, cualquier proceso
interno de asignacin y/o rotacin de equipos de cmputo le corresponde una lista de
chequeo para su alistamiento, lista dentro de la cual se encuentra debidamente registrado
la instalacin y/o validacin de SEPM. La desinstalacin de SEPM se encuentra restringida
a la validacin de clave de desinstalacin, la cual se encuentra a disposicin nicamente
del equipo de soporte interno.
Utilizando la consola de administracin de SEPM se implementan las siguientes polticas:
4.5.4.1 Virus y Spyware

SERVICIO
PROGRAMACIN
Desktop, Porttiles,
Mac 104
Servidores
SCAN Diario Base: 1:00 P.M.
Polticas de Seguridad Informtica
Pgina 27 de 36

Semanal Full Jueves
11:00 A.M.
Diario 12:30
A.M.
ACTUALIZACIONES Cada 8 horas Cada 4 horas

4.5.4.2 Autoprotect

DESCRIPCION
ACCIONES
Tipo de
Deteccin
Primera
Segunda
(De fallar la
primera)
Revisin Automtica de todos los archivos,
Riegos de Seguridad, Equipos remotos
cuando se ejecutan archivos.
Malware/Antivirus: Limpiar Borrar
Riegos de
seguridad:
Borrar Cuarentena

4.5.4.3 Descargas

DESCRIPCION
ACCIONES
Tipo de
Deteccin
Primera Segunda
Anlisis de Riegos potenciales basados en
reputacin con nivel de sensibilidad
intermedia, que permite tener un numero
bajo de falsos positivos sin comprometer el
desempeo de los computadores
Archivos
maliciosos
Borrar Cuarentena
No probados Sugerir N/A



4.5.4.4 Sonar:

DESCRIPCION
ACCIONES
Tipo de Deteccin
Alto
riesgo
Bajo
Riesgo
Amenaza Log Log
Polticas de Seguridad Informtica
Pgina 28 de 36

Symantec Online Network for
Advanced Response: Proteccin
Proactiva de amenazas
Eventos de cambio: DNS,
HOST FILE
Log
log
Comportamiento Sospechoso Bloqueo N/A

4.5.4.5 Autoprotect Mail

SERVICIO DESCRIPCION
ACCIONES
Tipo de
Deteccin
Primera Segunda
INTERNET
EMAIL
Scan de todos los archivos y
hasta tres niveles de compresin.
Malware/Antivirus: Limpiar Borrar
Riegos de
seguridad:
Borrar Cuarentena
MICROSOFT
OUTLOOK
Se encuentran desactivadas esta opciones por no usar ninguna plataforma
de correo cliente servidor Local, Nuestro Servicio es un servicio Web basado
en Google Apps con sus propias polticas de seguridad y control.
Adicionalmente servicios de correo basados en POP e IMAP se encuentra
restringidos en LAN
LOTUS
NOTES

4.5.4.6 Firewall

Desactiva el firewall de Windows y establece polticas de reglas centralizadas.
26 Reglas preestablecidas en la instalacin y que son recomendacin de buenas
prcticas por Symantec. Servicios como DHCP, DNS y WINS son controlados por
trfico desde la herramienta.

4.5.4.7 Intrusion Prevention

Detecta y bloquea automticamente ataques de red y a navegadores de internet, debe
permanecer activada globalmente.
4.5.5 Control de Aplicaciones y Dispositivos

Conjunto de reglas que permiten controlar acceso de aplicaciones y/o dispositivos a
los recursos del sistema, con el fin de prevenir riesgos de infeccin y/o seguridad;
no se bloquear el acceso a dispositivos como CD/DVD-ROM, USB o discos
externos.
Polticas de Seguridad Informtica
Pgina 29 de 36

Bloqueo a ejecucin de aplicaciones desde CD-ROM/DVD-ROM y dispositivos de
almacenamiento removibles incluyendo Autorun.inf.
4.5.6 Uso del Antivirus por los usuarios

El usuario no deber desinstalar la solucin antivirus de su computadora pues
ocasiona un riesgo de seguridad ante el peligro de virus.
Si el usuario hace uso de medios de almacenamiento personales, stos sern
rastreados por la Solucin Antivirus en la computadora del usuario o por el equipo
designado para tal efecto.
El usuario deber comunicarse con los ATI en caso de problemas de virus para
buscar la solucin.
El usuario ser notificado por los ATI en los siguientes casos:
o Cuando sea desconectado de la red con el fin evitar la propagacin del virus
a otros usuarios de la dependencia.
o Cuando sus archivos resulten con daos irreparables por causa de virus.
o Cuando viole las polticas antivirus.


Polticas de Seguridad Informtica
Pgina 30 de 36

5 SEGURIDAD PERIMETRAL

La seguridad perimetral es uno de los mtodos posibles de proteccin de la Red, basado
en el establecimiento de recursos de seguridad en el permetro externo de la red y a
diferentes niveles. Esto permite definir niveles de confianza, permitiendo el acceso de
determinados usuarios internos o externos a determinados servicios, y denegando
cualquier tipo de acceso a otros.
Los ATI implementarn soluciones lgicas y fsicas que garanticen la proteccin de la
informacin de las compaas de posibles ataques internos o externos.

Rechazar conexiones a servicios comprometidos
Permitir slo ciertos tipos de trfico (p. ej. correo electrnico, http, https).
Proporcionar un nico punto de interconexin con el exterior.
Redirigir el trfico entrante a los sistemas adecuados dentro de la intranet (Red
Interna).
Ocultar sistemas o servicios vulnerables que no son fciles de proteger desde
Internet
Auditar el trfico entre el exterior y el interior.
Ocultar informacin: nombres de sistemas, topologa de la red, tipos de dispositivos
de red cuentas de usuarios internos.
5.1 Firewall

La solucin de seguridad perimetral debe ser controlada con un Firewall por
Hardware (fsico) que se encarga de controlar puertos y conexiones, es decir, de
permitir el paso y el flujo de datos entre los puertos, ya sean clientes o servidores.
Este equipo deber estar cubierto con un sistema de alta disponibilidad que permita
la continuidad de los servicios en caso de fallo.
Los ATI establecern las reglas en el Firewall necesarias bloquear, permitir o ignorar
el flujo de datos entrante y saliente de la Red.
El firewall debe bloquear las conexiones extraas y no dejarlas pasar para que no
causen problemas.
El firewall debe controlar los ataques de Denegacin de Servicio y controlar
tambin el nmero de conexiones que se estn produciendo, y en cuanto detectan
que se establecen ms de las normales desde un mismo punto bloquearlas y
mantener el servicio a salvo.
Controlar las aplicaciones que acceden a Internet para impedir que programas a los
que no hemos permitido explcitamente acceso a Internet, puedan enviar
informacin interna al exterior (tipo troyanos).

5.2 Sistemas de Deteccin de Intrusos (IDS)

Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion Detection
System) es una aplicacin usada para detectar accesos no autorizados a un
computador/servidor o a una red. Estos accesos pueden ser ataques realizados por
Polticas de Seguridad Informtica
Pgina 31 de 36

usuarios malintencionados con conocimientos de seguridad o a travs de herramientas
automticas.
Los ATI implementarn soluciones lgicas y fsicas que impidan el acceso no autorizado a
los equipos de Las Empresas:

Deteccin de ataques en el momento que estn ocurriendo o poco despus.
Automatizacin de la bsqueda de nuevos patrones de ataque, con herramientas
estadsticas de bsqueda y al anlisis de trfico anmalo.
Monitorizacin y anlisis de las actividades de los usuarios en busca de elementos
anmalos.
Auditora de configuraciones y vulnerabilidades de los sistemas de IDS.
Descubrir sistemas con servicios habilitados que no deberan de tener, mediante el
anlisis del trfico y de los logs.
Anlisis de comportamiento anormal. Si se detecta una conexin fuera de hora,
reintentos de conexin fallidos y otros, existe la posibilidad de que se est en
presencia de una intrusin. Un anlisis detallado del trfico y los logs puede revelar
una mquina comprometida o un usuario con su contrasea al descubierto.
Automatizar tareas como la actualizacin de reglas, la obtencin y anlisis de logs,
la configuracin de cortafuegos.
La Red de Las Empresas slo podr acceder a los parmetros que el Firewall tenga
permitido o posibilite mediante su configuracin.

5.3 Redes Privadas Virtuales (VPN)

Los usuarios mviles y remotos de Las Empresas podrn tener acceso al a red
interna privada cuando se encuentren fuera de La Empresa alrededor del mundo en
cualquier ubicacin con acceso al Internet pblico, utilizando las redes privadas
VPN IPSec habilitadas por el rea de Tecnologa.
Los ATI sern los encargados de configurar el software necesario y asignar las
claves a los usuarios que lo soliciten.

5.4 Conectividad a Internet

La autorizacin de acceso a Internet se concede exclusivamente para actividades
de trabajo. Todos los colaboradores de Las Empresas tienen las mismas
responsabilidades en cuanto al uso de Internet.
El acceso a Internet se restringe exclusivamente a travs de la Red establecida para
ello, es decir, por medio del sistema de seguridad con Firewall incorporado en la
misma.
No est permitido acceder a Internet llamando directamente a un proveedor de
servicio de acceso y usando un navegador, o con otras herramientas de Internet
conectndose con un mdem.
Polticas de Seguridad Informtica
Pgina 32 de 36

Internet es una herramienta de trabajo. Todas las actividades en Internet deben
estar en relacin con tareas y actividades del trabajo desempeado.
Slo puede haber transferencia de datos de o a Internet en conexin con actividades
propias del trabajo desempeado.

5.5 Red Inalmbrica (WIFI)

5.5.1 Acceso a Funcionarios de Las Empresas:

La red inalmbrica (W-OM) es un servicio que permite conectarse a la red Las
Empresas e Internet sin la necesidad de algn tipo de cableado. La Red inalmbrica
le permitir utilizar los servicios de Red, en las zonas de cobertura de Las
Empresas.
Donde adems de hacer uso del servicio de acceso a los sistemas, podrn acceder
al servicio de Internet de manera controlada.
Las condiciones de uso presentadas definen los aspectos ms importantes que
deben tenerse en cuenta para la utilizacin del servicio de red inalmbrica, estas
condiciones abarcan todos los dispositivos de comunicacin inalmbrica
(computadoras porttiles, Ipod, celulares, etc.) con capacidad de conexin Wireless.
Los ATI, son los encargados de la administracin, habilitacin y/o bajas de usuarios
en la red inalmbrica de Las Empresas.

5.5.1.1 Identificacin y activacin

Para hacer uso de la red inalmbrica W-OM, el solicitante necesariamente deber
ser miembro de alguna de Las Empresas del grupo.
Como primer paso para hacer uso de este servicio, se deben de registrar los
usuarios que deseen la prestacin del servicio mediante el llenado de un formulario
y presentando el dispositivo que se conectar a la red inalmbrica.
Se debe registrar la direccin MAC de las tarjetas inalmbricas de todos y cada uno
de los dispositivos de comunicacin.
La activacin de la cuenta se realizar por un periodo semestral como mximo; salvo
casos de fuerza mayor o anormalidades en el registro (usuarios inexistentes,
apagones, fallas, etc.).
Para conectarse a la red inalmbrica se deber emplear autenticacin tipo WPA2-
AUTO-PSK para lo cual los nombres de usuarios y contraseas cambiarn
peridicamente (de 6 a 12 meses) con la finalidad de proporcionarles seguridad en
el acceso a los usuarios.

5.5.1.2 Seguridad

Polticas de Seguridad Informtica
Pgina 33 de 36

A pesar de que se han establecido sistemas de encriptacin de datos mediante el
uso de seguridad WPA2-AUTO-PSK, NO SE RECOMIENDA hacer uso de tarjetas
de crdito para compras.
Los ATI determinarn las medidas pertinentes de seguridad para usar las redes
inalmbricas.
Los ATI se reservan el derecho de llevar un registro de los eventos asociados a la
conexin de los diferentes usuarios para asegurar el uso apropiado de los recursos
de red.
No se deben realizar intentos de ingreso no autorizado a cualquier dispositivo o
sistema de la red inalmbrica. Cualquier tipo de ingreso no autorizado es una
prctica ilegal y ser.
No se debe hacer uso de programas que recolectan paquetes de datos de la red
inalmbrica. Esta prctica es una violacin a la privacidad y constituye un robo de
los datos de usuario, y puede ser sancionado.
Con la finalidad de evitar responsabilidades, en caso de que algn usuario haga
cambio de cualquiera de los equipos previamente dado de alta, este necesariamente
deber comunicar a los ATI para su respectiva baja del equipo de la red inalmbrica.

5.5.1.3 Tecnologa

La red inalmbrica de Las Empresas usa el estndar 802.11b/g/n con cifrado WPA2.
Por lo tanto las tarjetas de red inalmbrica deben poseer la certificacin Wi-Fi de
este estndar y soportar los requerimientos descritos. Caso contrario se debe
realizar algunas actualizaciones previas de tratarse de un computador porttil.
A pesar de que se usan amplificadores de seal, la cobertura queda sujeta a
diversos factores, por lo que NO SE GARANTIZA en ninguna forma el acceso desde
cualquier punto fuera de cobertura de Las Empresas.
Slo ser soportado el protocolo TCP/IPV.4 en la red inalmbrica.
El rea de Tecnologa se reserva el derecho de limitar los anchos de banda de cada
conexin segn sea necesario, para asegurar la confiabilidad y desempeo de la
red y de esta manera garantizar que la red sea compartida de una manera equitativa
por todos los usuarios de Las Empresas.
No se permiten la operacin ni instalacin de puntos de acceso (access points)
conectados a la red cableada de Las Empresas sin la debida autorizacin por parte
los ATI.
No se permite configurar las tarjetas inalmbricas como puntos de acceso o la
configuracin de equipos como servidores adicionales.

5.5.1.4 Restricciones/prohibiciones de acceso a Internet

Con la finalidad de hacer un buen uso de la red inalmbrica, se aplicarn las siguientes
prohibiciones:
El uso de programas para compartir archivos (Peer to Peer).
Polticas de Seguridad Informtica
Pgina 34 de 36

El acceso a pginas con cualquier tipo de contenido explcito de pornografa.
El uso de sitios de videos en lnea o en tiempo real.
Debido a las limitaciones de ancho de banda existentes NO se permite la conexin
a estaciones de radio por Internet.
Uso de JUEGOS "on line" en la red.
5.5.1.5 Excepciones

Entre las medidas de seguridad se encuentra configurado para restringir algunas
palabras y sitios de Internet; por lo que pueden existir palabras o sitios que a pesar
de ser inofensivos tendrn negado el acceso; en este caso, los usuarios podrn
notificar esta eventualidad para que sea resuelta a la brevedad posible.
En caso de eventos, cursos, talleres, conferencias, etc, se podrn habilitar equipos
con acceso a la red inalmbrica de manera temporal por el tiempo necesario previa
solicitud de los interesados con una anticipacin de por lo menos un da hbil.
En el caso de estos eventos las restricciones para acceder podrn ser anuladas
temporalmente previa solicitud expresa por parte de la parte interesada y con
anticipacin de por lo menos un da hbil.

5.5.2 Acceso a Invitados:

La red inalmbrica (W-GUEST) es un servicio que permite conectarse nica y
exclusivamente a personal externo de las empresas (clientes, proveedores) a
internet sin la necesidad de algn tipo de cableado. La Red inalmbrica de Invitados
le permitir utilizar los servicios de Internet, en las zonas de cobertura de Las
Empresas.
Los usuarios invitados no tendrn acceso a la Red de Las Empresas ni a ningn
recurso de uso privado de Las Empresas.
La red inalmbrica es de tipo Portal Cautivo y cada Empresa tendr una lista de
usuarios invitados con contraseas que se actualizarn cada dos meses.


Polticas de Seguridad Informtica
Pgina 35 de 36

6 PLAN DE CONTINGENCIAS INFORMATICAS

Los ATI crearn para los departamentos un plan de contingencias informticas que
incluya al menos los siguientes puntos:
Continuar con la operacin del rea con procedimientos informticos alternos.
Tener los respaldos de informacin en un lugar seguro, fuera del lugar en el que
se encuentran los equipos.
Tener el apoyo por medios magnticos o en forma documental, de las
operaciones necesarias para reconstruir los archivos daados.
Contar con un instructivo de operacin para la deteccin de posibles fallas, para
que toda accin correctiva se efecte con la mnima degradacin posible de los
datos.
Contar con un directorio del personal interno y del personal externo de soporte,
al cual se pueda recurrir en el momento en que se detecte cualquier anomala.
Ejecutar pruebas de la funcionalidad del plan.
Mantener revisiones del plan a fin de efectuar las actualizaciones respectivas.


Polticas de Seguridad Informtica
Pgina 36 de 36

7 ACTUALIZACIONES DE LA POLTICA DE SEGURIDAD

Debido a la propia evolucin de la tecnologa y las amenazas de seguridad, y a las nuevas
aportaciones legales en la materia, Las Empresas se reservan el derecho a modificar esta
Poltica cuando sea necesario. Los cambios realizados en esta Poltica sern divulgados a
todos los usuarios de Las Empresas.
Es responsabilidad de cada uno de los usuarios la lectura y conocimiento de la Poltica de
Seguridad ms reciente.

7.1 Disposiciones

Las disposiciones aqu enmarcadas, entrarn en vigor a partir del da de su difusin.
Las normas y polticas objeto de este documento podrn ser modificadas o
adecuadas conforme a las necesidades que se vayan presentando, mediante
acuerdo del Comit; una vez aprobadas dichas modificaciones o adecuaciones, se
establecer su vigencia.
La falta de conocimiento de las normas aqu descritas por parte de los usuarios no
los libera de la aplicacin de sanciones y/o penalidades por el incumplimiento de las
mismas.