Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Politica Tecnologias de Informacion y Comunicacion TIC PDF
Politica Tecnologias de Informacion y Comunicacion TIC PDF
Versin: 1
Poltica de Tecnologas
de Informacin y
Comunicacin TIC
Establecer un marco de gobierno para que el uso de las TICs de la organizacin, logre satisfacer las
necesidades actuales y futuras derivadas de la estrategia del negocio, siguiendo los criterios de
innovacin, calidad, eficiencia, escalabilidad, y de arquitectura empresarial. Estas polticas son
aplicables a todos los colaboradores, consultores, contratistas, terceras partes, que usen las tecnologas
de informacin y la comunicacin de la organizacin.
LINEAMIENTOS GENERALES DE LA POLTICA DE TECNOLOGAS DE LA INFORMACIN Y LA
COMUNICACIN (TIC)
Pgina 1
Pgina 2
Pgina 3
INFRAESTRUCTURA INFORMTICA
Pgina 4
Gestin de seguridad en las redes: Las redes y la infraestructura de apoyo deben ser adecuadamente
gestionadas y aseguradas para protegerlas de amenazas y para mantener la seguridad de los sistemas
y aplicaciones.
Se deben implantar controles relacionados con la segmentacin, gestin, monitoreo y deteccin de
eventos, para asegurar la informacin que viaja por las redes.
Manejo de los medios magnticos: Se deben establecer procedimientos adecuados para proteger los
medios magnticos, para prevenir la revelacin, modificacin, eliminacin o destruccin no autorizada.
Todo medio magntico utilizado que no se requiera debe ser destruido, de manera que no se pueda
recuperar la informacin. En el caso de documentos, estos se deben destruir con las herramientas
adecuadas.
Debe existir un inventario de medios magnticos y deben almacenarse de acuerdo con las prescripciones
del fabricante para prevenir la prdida o deterioro de la informacin.
Todos los medios deben ser etiquetados de acuerdo con el procedimiento de clasificacin y manejo de
la informacin establecido por la compaa.
Los medios se deben de proteger contra el acceso no autorizado, el mal uso o corrupcin, durante el
transporte fuera de los lmites fsicos de la empresa. Esto se hace por medio de transportes autorizados
con soportes debidamente cifrados cuando sean requeridos.
Registros de auditora: Se deben conservar registros de auditora de las actividades de los usuarios,
incluyendo administradores y operadores, de las excepciones o incidentes de informacin y mantenerlos
durante un perodo acordado para ayudar en investigaciones futuras y en el seguimiento y monitoreo del
control de acceso:
En la medida de lo posible se incluir como mnimo en los registros:
Identificadores de usuarios.
Registro de intentos de acceso al sistema exitosos y rechazados.
Registro de intentos de acceso a los recursos y a los datos exitosos y rechazados.
Cambios en la configuracin del sistema.
Uso de privilegios.
Uso de dispositivos y aplicaciones del sistema.
Archivos a lo que se ha accedido y la clase de acceso.
Alarmas por el sistema de control de acceso.
Activacin y desactivacin de los sistemas de proteccin, tales como sistemas de antivirus y de
deteccin de intrusin.
Cambios o intentos de cambios en las posiciones y en los controles de seguridad del sistema.
La frecuencia con que se revisa los resultados de las actividades de seguimiento, depender de la
informacin y criticidad de los sistemas.
TELECOMUNICACIONES
Pgina 5
Pgina 6
Los colaboradores, consultores, contratistas y terceras partes, podrn hacer uso de los dispositivos
mviles, siempre y cuando cumplan con los criterios tcnicos, funcionales, de seguridad, regulatorios y
econmicos establecidos por la Organizacin.
Estndares de la Poltica para equipos porttiles y dispositivos mviles
Asignacin y uso de telfonos celulares: La empresa cuenta con un plan corporativo de servicios de
telefona mvil suministrado por un operador determinado. La VP DC&NN, por medio del rea de
Arquitectura Organizacional, es responsable de la contratacin del servicio de telefona celular con el
prestador de servicios que garantice las mejores condiciones para la empresa, en trminos de servicios,
costos, planes y cobertura.
La asignacin de los equipos y planes de telefona celular para los colaboradores se realiza de acuerdo
con las responsabilidades consignadas en la Matriz de Atributos y con la aprobacin del Vicepresidente
respectivo. La entrega de los equipos celulares se hace nicamente con los accesorios originales propios
de cada telfono y de acuerdo con los modelos correspondientes al plan o servicio contratado.
La VP DC&NN, por medio del rea de Arquitectura Organizacional, tiene bajo su responsabilidad el
suministrar de ayuda en lo que se refiere a configuracin de las aplicaciones y servicios autorizados por
la compaa, todo otro soporte es responsabilidad exclusiva del colaborador.
Si el colaborador desea un equipo que supera en precio los lmites establecidos, la diferencia econmica
debe ser asumida por l y se descontar del pago de nmina, siempre y cuando la VP GH&A lo apruebe,
una vez sea entregado el equipo.
El colaborador que cuente con servicio de telefona celular, asignado por la compaa, debe respetar el
valor del plan establecido y atender los criterios de racionalidad y disciplina en el uso del servicio.
Igualmente, debe ser utilizado por el colaborador para realizar las funciones establecidas para su cargo
y su uso debe estar orientado a agilizar las funciones inherentes al mismo.
En el caso de prdida, hurto, dao o deterioro del equipo, su reposicin, reparacin o mantenimiento es
responsabilidad del colaborador. As mismo, el colaborador debe notificar la prdida o mal estado en un
trmino no superior a 48 horas.
La VP GH&A, siempre revisa los consumos de voz y datos de cada colaborador al que se le ha asignado
la lnea de la empresa y aquellos valores que sobrepasan los lmites autorizados son validados con el
Vicepresidente respectivo y deducidos por nmina si no hay una justificacin al respecto.
El colaborador que se retire de la empresa, si desea continuar con la misma lnea telefnica, debe
solicitarlo por escrito a la VP GH&A para proceder con el trmite de ceder la lnea de la empresa a nombre
del colaborador, as mismo los planes sern sujetos a las tarifas comerciales del Operador mvil.
Planes de datos: Los colaboradores con plan de datos asignado, deben dar un uso racional y
estrictamente laboral a este. No deben realizarse labores que generen costos adicionales ni descargar
software no autorizado en los dispositivos que cuenten con plan de datos pagado por la compaa.
As mismo, deben acogerse las disposiciones de navegacin definidas por la compaa, las cuales
prohben, entre otros, la consulta de pginas violentas, pornogrficas o que atenten contra los principios,
tica y moral de los colaboradores.
Pgina 7
El incumplimiento por parte de los colaboradores de lo dispuesto en esta Poltica, dar lugar a las
sanciones previstas en el Cdigo Sustantivo del Trabajo, el Reglamento Interno de Trabajo, el Contrato
de Trabajo Individual y en otras leyes y normas que resulten aplicables.
Utilizacin de Internet mvil: La empresa asigna servicio de Internet mvil a los colaboradores que
viajan frecuentemente y deben permanecer en lugares donde resulta difcil la comunicacin.
Los colaboradores que viajen de manera eventual, deben solicitar el servicio de Internet mvil a travs
de un requerimiento a la Mesa de Ayuda.
Es responsabilidad de los colaboradores hacer un uso adecuado de ste servicio. Asimismo, deben
acogerse las disposiciones de navegacin definidas por la compaa que prohben la consulta de pginas
violentas, pornogrficas o que atenten contra los principios, tica y moral de los colaboradores.
La Gestin del Servicio debe canalizar, registrar, priorizar y solicitar la debida autorizacin de las mejoras
recibidas. Una vez aprobadas las mejoras, deben quedar registradas en el Sistema de Mejoramiento de
la Calidad de la Organizacin, para su posterior seguimiento e implantacin.
Gestin financiera: La poltica financiera se fundamenta en las siguientes directrices:
Disponer de unos presupuestos que sean equilibrados y adecuados con las necesidades de TIC
de la compaa.
Pgina 8
Gestin de problemas: Todos los problemas deben ser registrados, clasificados, actualizados,
escalados, resueltos y cerrados. El procedimiento debe considerar la gestin proactiva de los problemas.
En los casos en que para resolver el problema haya que ejecutar un cambio, se realizar segn lo
establecido por el proceso de Gestin de cambios.
La gestin de problemas debe ser supervisada y revisada. Se deben realizar informes de los problemas
gestionados. Esta informacin debera estar disponible para el proceso de gestin de incidentes de tal
manera que se pueda aumentar su efectividad y desempeo.
Gestin de la configuracin: El planteamiento de identificacin y control de la configuracin deber
estar alineado con la estructura del catlogo de servicios vigente, as como con las directrices de control
que se establezcan desde gestin de cambios y de acuerdo con lo establecido por el proceso de gestin
de la configuracin.
El proceso de gestin de la configuracin determinar el nivel de detalle y de profundidad en la definicin
de los componentes del servicio, manteniendo una base de datos de las configuraciones, en funcin de
la criticidad del servicio relacionado y el valor que aporte mantener la informacin.
Gestin de cambios: Los pasos a produccin deben estar identificados con un nmero nico de cambio.
El Comit de Cambios aprobar los pasos a produccin despus de analizar los riesgos, el impacto del
cambio y el procedimiento de marcha atrs.
No estn permitidas las instalaciones ni actualizaciones que no estn bajo el proceso de control de
cambios.
La frecuencia y el tipo de despliegue se determinar en funcin de las necesidades y teniendo en cuenta
la planificacin vigente.
Los pasos a produccin se llevarn a cabo en horarios cuya afectacin a la disponibilidad sea mnima y
bajo condiciones controladas (ventanas de cambio).
Pgina 9
Gestin de capacidad: La gestin de capacidad se concreta en un Plan de capacidad que debe estar
alineado con las necesidades de la compaa e incluye:
Se debe monitorear la capacidad del servicio mediante herramientas que analicen los datos de los
sistemas. Datos que se traducirn en informes e indicadores, utilizados para conseguir los niveles de
capacidad requeridos por la empresa.
Gestin de disponibilidad: Se deben identificar los requisitos de disponibilidad para los servicios, en
funcin de las necesidades de la empresa, los acuerdos de niveles de servicio ofrecidos y las
evaluaciones de riesgo. Los requisitos identificados deben incluir aspectos relativos a los tiempos de
atencin y respuesta, as como la disponibilidad de extremo a extremo de los componentes de los
sistemas que soportan el servicio.
Los requisitos se deben registrar en el Plan de Disponibilidad, el cual ser revisado por lo menos una vez
al ao y siempre que se produzcan cambios significativos. Los cambios necesarios para la gestin
efectiva de este proceso deben realizarse segn el proceso de Gestin de Cambios. El Comit de
Cambios debe valorar el impacto sobre la disponibilidad de los servicios y el plan de disponibilidad.
Gestin de continuidad: Se deben identificar los requisitos de continuidad para los servicios en funcin
de las necesidades de la empresa, los Acuerdos de Niveles de Servicio ofrecidos y las evaluaciones de
riesgo.
Los requisitos se registran en un Plan de continuidad, el cual ser revisado por lo menos una vez al ao
y siempre que se produzcan cambios significativos. Una vez realizados los cambios se debe probar el
plan para comprobar su adecuacin y documentar el resultado de las pruebas. En caso que no se
alcancen los resultados previstos, se deben establecer acciones encaminadas a su consecucin.
Los cambios necesarios para la gestin efectiva de este proceso deben realizarse segn el proceso de
gestin de cambios. El Comit de Cambios debe valorar el impacto sobre la continuidad de los servicios
y el plan de continuidad. Los cambios realizados en produccin deben ser actualizados en los planes de
continuidad respectivos.
Pgina 10
Carpetas compartidas: El uso de carpetas compartidas en los equipos de cmputo de los usuarios es
una prctica que, aunque puede ser una herramienta til de trabajo, tiene implcitos riesgos que pueden
afectar los principios de confidencialidad integridad y disponibilidad de la informacin. Por lo tanto su uso
debe ser controlado y para eso se debe evitar el uso de carpetas compartidas en equipos de escritorio.
Los administradores de la red establecen e implementan en los casos aprobados la configuracin de
acceso a las carpetas, previo requerimiento formal de la misma por medio de la Mesa de Ayuda.
El usuario que autoriza el acceso a las carpetas y dispone el recurso compartido, es el responsable por
las acciones y los accesos sobre la informacin contenida en dicha carpeta.
Se debe definir el tipo de acceso y los roles estrictamente necesario sobre la carpeta (lectura, escritura,
modificacin, borrado). Adems, se debe especificar el lmite de tiempo durante el cual estar publicada
la informacin y el recurso compartido en el equipo.
Para la informacin confidencial o critica para la compaa, deben utilizarse las carpetas destinadas en
el servidor de archivos de usuarios, con el fin de que sea incluida en las copias diarias de respaldo.
El acceso a carpetas compartidas debe delimitarse a los usuarios que realmente necesitan la informacin
y se debe proteger el ingreso con contraseas.
No se puede compartir carpetas o el acceso a carpetas compartidas, a usuarios que no cuenten con
software de antivirus corporativo y actualizado.
Respaldo de la informacin: Las copias de seguridad de la informacin y de software se deben realizar
peridicamente, considerando lo siguiente:
Responsabilidad de uso: La Organizacin pone al servicio de los colaboradores el uso de los medios
necesarios para el normal desarrollo de las labores propias del cargo para lo cual adopta y comunica las
polticas de uso aceptable, controles y medidas dirigidas a garantizar la seguridad y continuidad del
servicio que presta. Es deber de los colaboradores acogerlas con integridad y dar a los recursos uso
racional y eficiente.
La Organizacin, en respeto de los principios de libertad de expresin y privacidad de informacin, no
genera a los colaboradores ninguna expectativa de privacidad en cualquier elemento que almacene,
enve o que reciba por medios electrnicos que sean propiedad de la empresa. En consecuencia, podr
denegar el acceso a los servicios electrnicos, inspeccionar, monitorear y cancelar servicios asignados
como correo electrnico, navegacin en Internet y recursos compartidos, entre otros.
Pgina 11
Los usuarios de los servicios electrnicos aceptan y convienen que la Organizacin puede conservar y
revelar el contenido del correo si as le es requerido por ley o si de buena fe considera que dicha reserva
o revelacin es necesaria para: (a) cumplir con procesos legales, (b) responder a quejas de que algn
contenido viola los derechos de terceras personas, o (c) proteger los derechos, propiedad o seguridad
personal de la empresa, sus usuarios y el pblico en general.
La violacin de los controles de seguridad o el incumplimiento de las Polticas de la Organizacin por
parte de los colaboradores dar lugar a la aplicacin de medidas administrativas, disciplinarias, civiles o
penales a las que haya lugar.
Los estndares de seguridad de la informacin contienen las polticas de uso aceptable para:
Correo electrnico.
Navegacin en Internet.
Recursos compartidos.
Equipos de cmputo.
Comunicaciones mviles.
Pgina 12
POLTICA DE INCORPORACIN AL
CUMPLIMIENTO REGULATORIO
Celsia S.A. E.S.P.
www.celsia.com
Pgina 13
Toda solucin de servicios o infraestructura tecnolgica debe cumplir con las condiciones contractuales,
de legislacin y regulacin externa e interna, para el debido cumplimiento de los regmenes legales a los
cuales est sometida la Organizacin.
DOCUMENTACIN RELACIONADA
CONTROL DE CAMBIOS
VERS
ION
1
FECHA
18/07/2013
JUSTIFICACIN DE LA
VERSIN
Creacin del documento
Pgina 14
Pgina 15