90

3.- POLTICAS DE SEGURIDAD

3.1 GENERALIDADES
La seguridad informtica ha tomado gran auge, debido a las cambiantes
condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad
de interconectarse a travs de redes, ha abierto nuevos horizontes a las
empresas para mejorar su productividad y poder explorar ms all de las
fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin
de nuevas amenazas para los sistemas de informacin. Estos riesgos
que se enfrentan han llevado a que se desarrolle un documento de
directrices que orientan en el uso adecuado de estas destrezas
tecnolgicas y recomendaciones para obtener el mayor provecho de
estas ventajas, y evitar el uso indebido de la mismas, lo cual puede
ocasionar serios problemas a los bienes, servicios y operaciones de la
empresa Sudamericana de Software S.A.

91

En este sentido, las polticas de seguridad informtica definidas partiendo

desde el anlisis de los riesgos a los que se encuentra propensa SASF,
surgen como una herramienta organizacional para concienciar a los
colaboradores de la organizacin sobre la importancia y sensibilidad de la
informacin y servicios crticos que permiten a la empresa crecer y
mantenerse competitiva. Ante esta situacin, el proponer nuestra poltica
de seguridad requiere un alto compromiso con la organizacin, agudeza
tcnica para establecer fallas y debilidades en su aplicacin, y constancia
para renovar y actualizar dicha poltica en funcin del dinmico ambiente
que rodea a SASF.

3.2 ALCANCE DE LAS POLTICAS

Este manual de polticas de seguridad es elaborado de acuerdo al anlisis
de riesgos y de vulnerabilidades en las dependencias de Sudamericana
de Software S.A., por consiguiente el alcance de estas polticas, se
encuentra sujeto a la empresa.

92

3.3 OBJETIVOS
Desarrollar un sistema de seguridad significa "planear, organizar, dirigir y
controlar las actividades para mantener y garantizar la integridad fsica de
los recursos informticos, as como resguardar los activos de la empresa".

Los objetivos que se desean alcanzar luego de implantar nuestro sistema

de seguridad son los siguientes:

Establecer un

esquema de seguridad con perfecta claridad y

transparencia bajo la responsabilidad de SASF en la administracin

del riesgo.

Compromiso de todo el personal de la empresa con el proceso de

seguridad, agilizando la aplicacin de los controles con dinamismo y
armona.

Que la prestacin del servicio de seguridad gane en calidad.

Todos los empleados se convierten en interventores del sistema de

seguridad.

93

3.4 ANLISIS DE LAS RAZONES QUE IMPIDEN LA APLICACIN DE LAS

POLTICAS DE SEGURIDAD INFORMTICA
A pesar de que un gran nmero de organizaciones canalizan sus
esfuerzos para definir directrices de seguridad y concretarlas en
documentos que orienten las acciones de las mismas, muy pocas
alcanzan el xito, ya que la primera barrera que se enfrenta es convencer
a los altos ejecutivos de la necesidad y beneficios de buenas polticas de
seguridad informtica.

Otros inconvenientes lo representan los tecnicismos informticos y la falta

de una estrategia de mercadeo por parte de los Gerentes de Informtica o
los especialistas en seguridad, que llevan a los altos directivos a
pensamientos como: "ms dinero para juguetes del Departamento de
Sistemas".

Esta situacin ha llevado a que muchas empresas con activos muy

importantes, se encuentren expuestas a graves problemas de seguridad y
riesgos innecesarios, que en muchos casos comprometen informacin
sensitiva y por ende su imagen corporativa. Ante esta situacin, los
encargados de la seguridad deben confirmar que las personas entienden

94

los asuntos importantes de la seguridad, conocen sus alcances y estn de

acuerdo con las decisiones tomadas en relacin con esos asuntos.

Si se quiere que las polticas de seguridad sean aceptadas, deben

integrarse a las estrategias del negocio, a su misin y visin, con el
propsito de que quienes toman las decisiones reconozcan su
importancia e incidencias en las proyecciones y utilidades de la empresa.

Finalmente, es importante sealar que las polticas por s solas no

constituyen una garanta para la seguridad de la empresa, ellas deben
responder a intereses y necesidades empresariales basadas en la visin
de negocio, que lleven a un esfuerzo conjunto de sus actores por
administrar sus recursos, y a reconocer en los mecanismos de seguridad
informtica factores que facilitan la formalizacin y materializacin de los
compromisos adquiridos con la empresa.

95

3.5 RESPONSABILIDADES
Es responsabilidad del supervisor de Seguridad Informtica, desarrollar,
someter a revisin y divulgar en adicin a los dems medios de difusin
(intranet, email, sitio web oficial, revistas internas) de los Procedimientos
de Seguridad. Asimismo, es responsabilidad del supervisor inmediato
capacitar a sus empleados en lo relacionado con los Procedimientos de
Seguridad.

3.6 DEFINICIN DE POLTICAS DE SEGURIDAD INFORMTICA

En esta seccin del documento se presenta una propuesta de polticas de
seguridad, como un recurso para mitigar los riesgos a los que
Sudamericana de Software S.A. se ve expuesta.

3.6.1 DISPOSICIONES GENERALES

Articulo 1.- El presente ordenamiento tiene por objeto estandarizar y
contribuir al desarrollo informtico de las diferentes reas de la Empresa
Sudamericana de Software S.A.(SASF)

96

Articulo 2.- Para los efectos de este instrumento se entender por:

Comit
Al equipo integrado por la Gerencia, los Jefes de rea y el personal
administrativo (ocasionalmente) convocado para fines especficos como:

Adquisiciones de Hardware y software

Establecimiento

de estndares de la Empresa SASF tanto de

hardware como de software

Establecimiento de la Arquitectura tecnolgica de grupo.

Establecimiento de lineamientos para concursos de ofertas

Administracin de informtica
Est integrada por la Gerencia y Jefes de rea, las cuales son
responsables de:

Velar por el funcionamiento de la tecnologa informtica que se utilice

en las diferentes reas.

Elaborar y efectuar seguimiento del Plan Maestro de Informtica

Definir estrategias y objetivos a corto, mediano y largo plazo

Mantener la Arquitectura tecnolgica

97

Controlar la calidad del servicio brindado

Mantener el Inventario actualizado de los recursos informticos

Velar por

el cumplimiento de las Polticas

Procedimientos

establecidos.

Articulo 3.- Para los efectos de este documento, se entiende por

Polticas en Informtica, al conjunto de reglas obligatorias, que deben
observar los Jefes de Sistemas responsables del hardware y software
existente en SASF, siendo responsabilidad de la Administracin de
Informtica, vigilar su estricta observancia en el mbito de su
competencia, tomando las medidas preventivas y correctivas para que se
cumplan.

Articulo 4.- Las Polticas en Informtica son el conjunto de

ordenamientos y lineamientos enmarcados en el mbito jurdico y
administrativo de SASF. Estas normas inciden en la adquisicin y el uso
de los Bienes y Servicios Informticos, las cuales se debern de acatar
invariablemente, por aquellas instancias que intervengan directa y/o
indirectamente en ello.

98

Articulo 5.- La instancia rectora de los sistemas de informtica de SASF

es la Gerencia, y el organismo competente para la aplicacin de este
ordenamiento, es el Comit.

Articulo 6.- Las Polticas aqu contenidas, son de observancia para la

adquisicin y uso de bienes y servicios informticos, en SASF, cuyo
incumplimiento generar que se incurra en responsabilidad administrativa;
sujetndose

lo

dispuesto

en

la

seccin

Responsabilidades

Administrativas de Sistemas.

Articulo 7.- SASF deber contar con un Jefe o responsable, en el que

recaiga la administracin de los Bienes y Servicios, que vigilar la
correcta aplicacin de los ordenamientos establecidos por el Comit y
dems disposiciones aplicables.

99

3.6.2

LINEAMIENTOS

PARA

LA

ADQUISICIN

DE

BIENES

INFORMTICOS
Articulo 8.- Toda adquisicin de tecnologa informtica se efectuar a
travs del Comit, que est conformado por el personal de la
Administracin de Informtica.

Articulo 9.- La adquisicin de Bienes de Informtica en SASF, quedar

sujeta a los lineamientos establecidos en este documento.

Articulo 10.- La Administracin de Informtica, al planear las

operaciones relativas a la adquisicin de Bienes informticos, establecer
prioridades y en su seleccin deber tomar en cuenta: estudio tcnico,
precio, calidad, experiencia, desarrollo

tecnolgico, estndares y

capacidad, entendindose por:

Precio
Costo inicial, costo de mantenimiento y consumibles por el perodo
estimado de uso de los equipos;

100

Calidad
Parmetro cualitativo que especifica las caractersticas tcnicas de los
recursos informticos.

Experiencia
Presencia en el mercado nacional e internacional, estructura de servicio,
la confiabilidad de los bienes y certificados de calidad con los que se
cuente.

Desarrollo Tecnolgico
Se deber analizar su grado de obsolescencia, su nivel tecnolgico con
respecto a la oferta existente y su permanencia en el mercado.

Estndares
Toda adquisicin se basa en los estndares, es decir la arquitectura de
grupo empresarial establecida por el Comit. Esta arquitectura tiene una
permanencia mnima de dos a cinco aos.

101

Capacidades
Se deber analizar si satisface la demanda actual con un margen de
holgura y capacidad de crecimiento para soportar la carga de trabajo del
rea.

Articulo 11.- Para la adquisicin de Hardware se observar lo siguiente:

El equipo que se desee adquirir deber estar dentro de las listas de

ventas vigentes de los fabricantes y/o distribuidores del mismo y
dentro de los estndares de SASF.

Los equipos complementarios debern tener una garanta mnima de

un ao y debern contar con el servicio tcnico correspondiente en el
pas.

Debern ser equipos integrados

de fbrica o ensamblados con

componentes previamente evaluados por el Comit.

La marca de los

equipos o

componentes deber contar con

presencia
y permanencia demostrada en el mercado nacional e internacional, as
como con asistencia tcnica y refaccionaria local.
microcomputadores,

Tratndose

de

a fin de mantener actualizada la arquitectura

102

informtica

de

SASF,

el

Comit

emitir

peridicamente

las

especificaciones tcnicas mnimas para su adquisicin.

Los dispositivos de almacenamiento,

as como las interfaces de

entrada / salida, debern estar acordes con la tecnologa de punta

vigente, tanto en velocidad de transferencia de datos, como en
procesamiento.

Las impresoras debern apegarse a los estndares de Hardware y

Software vigentes en el mercado y en SASF, corroborando que los
suministros (cintas, papel, etc.) se consigan fcilmente en el mercado
y no estn sujetas a un solo proveedor.

Conjuntamente con los equipos,

se deber adquirir el equipo

complementario adecuado para su correcto funcionamiento de

acuerdo con las especificaciones de los fabricantes, y que esta
adquisicin se manifieste en el costo de la partida inicial.

Los equipos adquiridos deben contar, de preferencia con asistencia

tcnica durante la instalacin de los mismos.

En lo que se refiere a los servidores, equipos de comunicaciones,

concentradores de medios (HUBS) y otros equipos que se justifiquen
por ser de operacin crtica y/o de alto costo, deben de contar con un
programa de mantenimiento preventivo y correctivo que incluya el
suministro de refacciones al vencer su perodo de garanta.

103

En lo que se refiere a los computadores denominados personales, al

vencer su garanta por adquisicin, deben de contar por lo menos con
un programa de servicio de mantenimiento correctivo que incluya el
suministro de refacciones.

Todo proyecto de adquisicin de bienes de informtica, debe sujetarse

al anlisis, aprobacin y autorizacin del Comit.

Articulo 12.- En la adquisicin de Equipo de cmputo se deber incluir el

Software

vigente

precargado

con

su

licencia

correspondiente

considerando las disposiciones del artculo siguiente.

Articulo 13.- Para la adquisicin de Software base y utilitarios, el Comit

dar a conocer peridicamente las tendencias con tecnologa de punta
vigente, siendo la lista de productos autorizados la siguiente:

104

Plataformas de Sistemas Operativos

MS-Windows

Linux.

Bases de Datos

Oracle

Lenguajes y herramientas de programacin

Los lenguajes y herramientas de programacin que se utilicen deben
ser compatibles con las plataformas enlistadas.

PL/SQL

JAVA

ORACLE Forms

ORACLE Reports

ORACLE Designer

ORACLE Workflow Builder

PL/SQL Developer

ORACLE Jdeveloper

Macromedia Dreamweaver

Macromedia Fireworks

105

Java Decompiler

Utilitarios de oficina

Microsoft Office

Star Office

Programas antivirus

Norton Antivirus

McAfee

Manejador de correo electrnico

Microsoft Outlook

Navegadores de Internet

Internet Explorer

Mozilla

Comprimidores de archivos

Winzip

Winrar

106

En casos excepcionales, slo se adquirirn las ltimas versiones

liberadas de los productos seleccionados, salvo situaciones especficas
que se debern justificar ante el Comit. Todos los productos de Software
que se adquieran debern contar con su licencia de uso, documentacin y
garanta respectivas.

Articulo 14.- Todos los productos de Software que se utilicen a partir de

la fecha en que entre en vigor el presente ordenamiento, debern contar
con su licencia de uso respectiva; por lo que se promover la
regularizacin o eliminacin de los productos ya instalados que no
cuenten con el debido licenciamiento.

Articulo 15.- Para la operacin del software de red en caso de manejar

los datos empresariales mediante sistemas de informacin, se deber
tener en consideracin lo siguiente:

Toda la informacin institucional deber invariablemente ser operada a

107

travs de un mismo tipo de sistema manejador de base de datos para

beneficiarse

de

los

mecanismos

de

integridad,

seguridad

recuperacin de informacin en caso de presentarse alguna falla.

El acceso a los sistemas de informacin,

deber contar con los

privilegios niveles de seguridad de acceso suficientes para

garantizar la seguridad total de la informacin institucional. Los niveles
de seguridad de acceso debern controlarse por un administrador
nico y poder ser manipulado por software.

Se deben delimitar las responsabilidades en cuanto a quin est

autorizado a consultar y/o modificar en cada caso la informacin,
tomando las medidas de seguridad pertinentes.

Los datos de los sistemas de informacin,

deben ser respaldados de

acuerdo a la frecuencia de actualizacin de sus datos, rotando los

dispositivos

de

respaldo

guardando

respaldos

histricos

peridicamente. Es indispensable llevar una bitcora oficial de los

respaldos realizados, asimismo, los CDs de respaldo debern
guardarse en un lugar de acceso restringido con condiciones
ambientales suficientes para garantizar su conservacin. En cuanto a
la informacin de los equipos de cmputo personales, la Unidad de
Informtica recomienda a los usuarios que realicen sus propios
respaldos en la red o en medios de almacenamiento alternos.

108

Todos los sistemas de informacin que se tengan en operacin,

deben
contar con sus respectivos manuales actualizados. Un tcnico que
describa la estructura interna del sistema as como los programas,
catlogos y archivos que lo conforman y otro que describa a los
usuarios del sistema y los procedimientos para su utilizacin.

Los sistemas de informacin, deben contemplar el registro histrico

de
las transacciones sobre datos relevantes, as como la clave del
usuario y fecha en que se realiz (Normas Bsicas de Auditoria y
Control).

Se deben implantar rutinas peridicas de auditoria a la integridad

de
los datos y de los programas de cmputo, para garantizar su
confiabilidad.

Articulo 16.- Para la prestacin del servicio de desarrollo o construccin

de Software aplicativo se observar lo siguiente:

109

Todo proyecto de contratacin de desarrollo o construccin de software

requiere de un estudio de factibilidad que permita establecer la
rentabilidad del proyecto as como los beneficios que se obtendrn del
mismo.

3.6.3 INSTALACIONES DE LOS EQUIPOS DE CMPUTO

Articulo 17.- La instalacin del equipo de cmputo, quedar sujeta a los

siguientes lineamientos:

Los

equipos

para

uso interno

se

instalarn

en

lugares

adecuados,
lejos de polvo y trfico de personas.

La Administracin

de

Informtica,

as como las reas

operativas
debern contar con un croquis actualizado de las instalaciones
elctricas y de comunicaciones del equipo de cmputo en red.

de

Las instalaciones elctricas y de comunicaciones,

estarn

110

preferencia fijas o en su defecto resguardadas del paso de personas o

mquinas, y libres de cualquier interferencia elctrica o magntica.

Las instalaciones se apegarn estrictamente a los requerimientos

de
los equipos, cuidando las especificaciones del cableado y de los
circuitos de proteccin necesarios.
En

ningn

caso

se

permitirn

instalaciones

improvisadas

sobrecargadas.

Articulo 18.- La supervisin y control de las instalaciones se llevar a

cabo en los plazos y mediante los mecanismos que establezca el Comit.

3.6.4 LINEAMIENTOS EN INFORMTICA: INFORMACIN

Articulo 19.- La informacin almacenada en medios magnticos se
deber inventariar, anexando la descripcin y las especificaciones de la
misma, clasificndola en tres categoras:

Informacin histrica para auditorias.

111

Informacin de inters de la Empresa

Informacin de inters exclusivo de alguna rea en particular.

Articulo 20.- Los jefes de rea responsables de la informacin contenida

en los departamentos a su cargo, delimitarn las responsabilidades de
sus subordinados y determinarn quien est autorizado a efectuar
operaciones emergentes con dicha informacin tomando las medidas de
seguridad pertinentes.

Articulo 21.- Se establecen tres tipos de prioridad para la informacin:

Informacin vital para el funcionamiento del rea;

Informacin necesaria, pero no indispensable en el rea.

Informacin ocasional o eventual.

Articulo 22.- En caso de informacin vital para el funcionamiento del

rea, se debern tener procesos colaborativos, as como tener el respaldo

112

diario de las modificaciones efectuadas, rotando los dispositivos de

respaldo y guardando respaldos histricos semanalmente.

Articulo 23.- La informacin necesaria pero no indispensable, deber

ser respaldada con una frecuencia mnima de una semana, rotando los
dispositivos de respaldo y guardando respaldos histricos mensualmente.

Articulo 24.- El respaldo de la informacin ocasional o eventual queda a

criterio del rea.

Articulo 25.- La informacin almacenada en medios magnticos, de

carcter histrico, quedar documentada como activos del rea y estar
debidamente resguardada en su lugar de almacenamiento.
Es obligacin del responsable del rea, la entrega conveniente de la
informacin, a quien le suceda en el cargo.

Articulo 26.- Los sistemas de informacin en operacin, como los que

se desarrollen debern contar con sus respectivos manuales. Un manual

113

del usuario que describa los procedimientos de operacin y el manual

tcnico que describa su estructura interna, programas, catlogos y
archivos.

Articulo 27.- Ningn colaborador en proyectos de software y/o trabajos

especficos, deber poseer, para usos no propios de su responsabilidad,
ningn material o informacin confidencial de SASF tanto ahora como en
el futuro.

3.6.5 FUNCIONAMIENTO DE LOS EQUIPOS DE CMPUTO

Articulo 28.- Es obligacin de la Administracin de Informtica vigilar
que el equipo de cmputo se use bajo las condiciones especificadas por
el proveedor y de acuerdo a las funciones del rea a la que se asigne.

Articulo 29.- Los colaboradores de la empresa al usar el equipo de

cmputo, se abstendrn de consumir alimentos, fumar o realizar actos
que perjudiquen el funcionamiento del mismo o deterioren la informacin

114

almacenada

en

medios

magnticos,

pticos,

medios

de

almacenamiento removibles de ltima generacin.

Articulo 30.- Por seguridad de los recursos informticos se deben

establecer seguridades:

Fsicas

Sistema Operativo

Software

Comunicaciones

Base de Datos

Proceso

Aplicaciones

Por ello se establecen los siguientes lineamientos:

Mantener claves de acceso que permitan el uso solamente al personal

autorizado para ello.

Verificar la informacin que provenga de fuentes externas a fin de

115

corroborar que est libre de cualquier agente contaminante o

perjudicial para el funcionamiento de los equipos.

Mantener plizas de seguros de los recursos informticos en

funcionamiento

Articulo 31.- En ningn caso se autorizar la utilizacin de dispositivos

ajenos a los procesos informticos del rea. Por consiguiente, se prohbe
el ingreso y/o instalacin de hardware y software particular, es decir que
no sea propiedad de SASF, excepto en casos emergentes que la
Direccin autorice.

3.6.6 PLAN DE CONTINGENCIAS INFORMATICAS

Articulo 32.- La Administracin de Informtica crear para los
departamentos un plan de contingencias informticas que incluya al
menos los siguientes puntos:

Continuar con la operacin del rea con procedimientos informticos

alternos.

Tener los respaldos de informacin en un lugar seguro, fuera del lugar

116

en el que se encuentran los equipos.

Tener el apoyo por medios magnticos o en forma documental, de las

operaciones necesarias para reconstruir los archivos daados.

Contar con un instructivo de operacin para la deteccin de posibles

fallas, para que toda accin correctiva se efecte con la mnima
degradacin posible de los datos.

Contar con un directorio del personal interno y del personal externo de

soporte, al cual se pueda recurrir en el momento en que se detecte
cualquier anomala.

Ejecutar pruebas de la funcionalidad del plan.

Mantener revisiones del plan a fin de efectuar las actualizaciones

respectivas.

3.6.7 ESTRATEGIAS INFORMTICAS

Articulo 33.- La estrategia informtica de SASF se consolida en el Plan
Maestro de Informtica y est orientada hacia los siguientes puntos:

Plataforma de Sistemas Abiertos (Portables).

Esquemas de operacin bajo el concepto multicapas.

Estandarizacin de hardware, software base, utilitarios y estructuras

de datos

117

Intercambio de experiencias entre Departamentos.

Manejo de proyectos conjuntos con las diferentes reas.

Programa de capacitacin permanente para los colaboradores de la

empresa.

Articulo 34.- Para la elaboracin de los proyectos informticos y para la

presupuestacin de los mismos, se tomarn en cuentan tanto las
necesidades de hardware y software del rea solicitante, como la
disponibilidad de recursos con los que cuente SASF.

3.6.8 ACCESO FSICO

Articulo 35.- Slo al personal autorizado le est permitido el acceso a
las instalaciones donde se almacena la informacin confidencial de SASF.

Articulo 36.- Slo bajo la vigilancia de personal autorizado, puede el

personal externo entrar en las instalaciones donde se almacena la
informacin confidencial, y durante un perodo de tiempo justificado.

118

3.6.9 IDENTIFICADORES DE USUARIO Y CONTRASEAS

Articulo 37.- Todos los usuarios con acceso a un sistema de informacin
o a una red informtica, dispondrn de una nica autorizacin de acceso
compuesta de identificador de usuario y contrasea.

Articulo 38.- Ningn usuario recibir un identificador de acceso a la Red

de Comunicaciones, Recursos Informticos o Aplicaciones hasta que no
acepte formalmente la Poltica de Seguridad vigente.

Articulo 39.- Los usuarios tendrn acceso autorizado nicamente a

aquellos datos y recursos que precisen para el desarrollo de sus
funciones, conforme a los criterios establecidos por el responsable de la
informacin.

119

Artculo 40.- La longitud mnima de las contraseas ser igual o superior

a ocho caracteres, y estarn constituidas por combinacin de caracteres
alfabticos, numricos y especiales.

Artculo

41.-

Los

identificadores

para

usuarios

temporales

se

configurarn para un corto perodo de tiempo. Una vez expirado dicho

perodo, se desactivarn de los sistemas.

3.6.10 RESPONSABILIDADES PERSONALES

Artculo 42.- Los usuarios son responsables de toda actividad
relacionada con el uso de su acceso autorizado.

Artculo 43.- Los usuarios no deben revelar bajo ningn concepto su

identificador y/o contrasea a otra persona ni mantenerla por escrito a la
vista, ni al alcance de terceros.

120

Artculo 44.- Los usuarios no deben utilizar ningn acceso autorizado de

otro usuario, aunque dispongan de la autorizacin del propietario.

Artculo 45.- Si un usuario tiene sospechas de que su acceso autorizado

(identificador de usuario y contrasea) est siendo utilizado por otra
persona, debe proceder al cambio de su contrasea e informar a su jefe
inmediato y ste reportar al responsable de la administracin de la red.

Artculo 46.- El Usuario debe utilizar una contrasea compuesta por un

mnimo de ocho caracteres constituida por una combinacin de
caracteres alfabticos, numricos y especiales.

Artculo 47.- La contrasea no debe hacer referencia a ningn concepto,

objeto o idea reconocible. Por tanto, se debe evitar utilizar en las
contraseas fechas significativas, das de la semana, meses del ao,
nombres de personas, telfonos.

121

Artculo 48.- En caso que el sistema no lo solicite automticamente, el

usuario debe cambiar la contrasea provisional asignada la primera vez
que realiza un acceso vlido al sistema.

Artculo 49.- En el caso que el sistema no lo solicite automticamente, el

usuario debe cambiar su contrasea como mnimo una vez cada 30 das.
En caso contrario, se le podr denegar el acceso y se deber contactar
con el jefe inmediato para solicitar al administrador de la red una nueva
clave.

Artculo 50.- Proteger, en la medida de sus posibilidades, los datos de

carcter personal a los que tienen acceso, contra revelaciones no
autorizadas o accidentales, modificacin, destruccin o mal uso,
cualquiera que sea el soporte en que se encuentren contenidos los datos.

Artculo 51.- Guardar por tiempo indefinido la mxima reserva y no se

debe emitir al exterior datos de carcter personal contenidos en cualquier
tipo de soporte.

122

Artculo 52.- Utilizar el menor nmero de listados que contengan datos

de carcter personal y mantener los mismos en lugar seguro y fuera del
alcance de terceros.

Artculo 53.- Cuando entre en posesin de datos de carcter personal,

se entiende que dicha posesin es estrictamente temporal, y debe
devolver los soportes que contienen los datos inmediatamente despus
de la finalizacin de las tareas que han originado el uso temporal de los
mismos.

Artculo 54.- Los usuarios slo podrn crear ficheros que contengan
datos de carcter personal para un uso temporal y siempre necesario
para el desempeo de su trabajo. Estos ficheros temporales nunca sern
ubicados en unidades locales de disco de la computadora de trabajo y
deben ser destruidos cuando hayan dejado de ser tiles para la finalidad
para la que se crearon.

123

Artculo 55.- Los usuarios deben notificar a su jefe inmediato cualquier

incidencia que detecten que afecte o pueda afectar a la seguridad de los
datos de carcter personal: prdida de listados y/o disquetes, sospechas
de uso indebido del acceso autorizado por otras personas, recuperacin
de datos.

Artculo 56.- Los usuarios nicamente introducirn datos identificativos y

direcciones o telfonos de personas en las agendas de contactos de las
herramientas ofimticas (por ejemplo en Outlook)

3.6.11 SALIDA DE INFORMACIN

Artculo 57.- Toda salida de informacin (en soportes informticos o por
correo electrnico) slo podr ser realizada por personal autorizado y
ser necesaria la autorizacin formal del responsable del rea del que
proviene.
Artculo 58.- Adems, en la salida de datos especialmente protegidos
(como son los datos de carcter personal para los que el Reglamento
requiere medidas de seguridad de nivel alto), se debern cifrar los

124

mismos o utilizar cualquier otro mecanismo que garantice que la

informacin no sea inteligible ni manipulada durante su transporte.

3.6.12 USO APROPIADO DE LOS RECURSOS

Artculo 57.- Los Recursos Informticos, Datos, Software, Red
Corporativa y Sistemas de Comunicacin Electrnica estn disponibles
exclusivamente para cumplimentar las obligaciones y propsito de la
operativa para la que fueron diseados e implantados. Todo el personal
usuario de dichos recursos debe saber que no tiene el derecho de
confidencialidad en su uso.

Queda Prohibido
Artculo 58.- El uso de estos recursos para actividades no relacionadas
con el propsito del negocio, o bien con la extralimitacin en su uso.

Artculo 59.- Las actividades, equipos o aplicaciones que no estn

directamente especificados como parte del Software o de los Estndares
de los Recursos Informticos propios de SASF.

125

Artculo 60.- Introducir en los Sistemas de Informacin o la Red

Corporativa contenidos obscenos, amenazadores, inmorales u ofensivos.

Queda prohibido
Artculo 61.- Introducir voluntariamente programas, virus, macros,
applets, controles ActiveX o cualquier otro dispositivo lgico o secuencia
de caracteres que causen o sean susceptibles de causar cualquier tipo de
alteracin o dao en los Recursos Informticos. El personal contratado
por SASF tendr la obligacin de utilizar los programas antivirus y sus
actualizaciones para prevenir la entrada en los Sistemas de cualquier
elemento destinado a destruir o corromper los datos informticos.

Artculo 62.- Intentar destruir, alterar, inutilizar o cualquier otra forma de

daar los datos, programas o documentos electrnicos.
Artculo 63.- Albergar datos de carcter personal en las unidades
locales de disco de los computadores de trabajo.

126

Artculo 64.- Cualquier fichero introducido en la red corporativa o en el

puesto de trabajo del usuario a travs de soportes automatizados,
Internet, correo electrnico o cualquier otro medio, deber cumplir los
requisitos establecidos en estas normas y, en especial, las referidas a
propiedad intelectual y control de virus.

3.6.13 SOFTWARE
Artculo 65.- Todo el personal que accede a los Sistemas de Informacin
de SASF debe utilizar nicamente las versiones de software facilitadas y
siguiendo sus normas de utilizacin.

Artculo 66.-Todo el personal tiene prohibido instalar copias ilegales de

cualquier programa, incluidos los estandarizados.

Artculo 67.-Tambin tiene prohibido borrar cualquiera de los programas

instalados legalmente.

127

3.6.14 RECURSOS DE RED

De forma rigurosa, ninguna persona debe:

Artculo 68.- Conectar a ninguno de los Recursos, ningn tipo de equipo

de comunicaciones (Ej. mdem) que posibilite la conexin a la Red
Corporativa.

Artculo 69.- Conectarse a la Red Corporativa a travs de otros medios

que no sean los definidos.

Artculo 70.- Intentar obtener otros derechos o accesos distintos a

aquellos que les hayan sido asignados.

Artculo 71.- Intentar acceder a reas restringidas de los Sistemas de

Informacin o de la Red Corporativa.

128

Artculo 72.- Intentar distorsionar o falsear los registros log de los

Sistemas de Informacin.

Artculo 73.- Intentar descifrar las claves, sistemas o algoritmos de

cifrado y cualquier otro elemento de seguridad que intervenga en los
procesos telemticos.

Artculo 74.- Poseer, desarrollar o ejecutar programas que pudieran

interferir sobre el trabajo de otros Usuarios, ni daar o alterar los
Recursos Informticos.

3.6.15 CONECTIVIDAD A INTERNET

Artculo 75.- La autorizacin de acceso a Internet se concede
exclusivamente para actividades de trabajo. Todos los colaboradores de
SASF tienen las mismas responsabilidades en cuanto al uso de Internet.

129

Artculo 76.- El acceso a Internet se restringe exclusivamente a travs

de la Red establecida para ello, es decir, por medio del sistema de
seguridad con cortafuegos incorporado en la misma. No est permitido
acceder a Internet llamando directamente a un proveedor de servicio de
acceso y usando un navegador, o con otras herramientas de Internet
conectndose con un mdem.

Artculo 77.- Internet es una herramienta de trabajo. Todas las

actividades en Internet deben estar en relacin con tareas y actividades
del trabajo desempeado.

Artculo 78.- Slo puede haber transferencia de datos de o a Internet en

conexin con actividades propias del trabajo desempeado.

Artculo 79.- En caso de tener que producirse una transmisin de datos

importante, confidencial o relevante, slo se podrn transmitir en forma
encriptada.

130

3.6.16 ACTUALIZACIONES DE LA POLTICA DE SEGURIDAD

Artculo 80.- Debido a la propia evolucin de la tecnologa y las
amenazas de seguridad, y a las nuevas aportaciones legales en la
materia, SASF se reserva el derecho a modificar esta Poltica cuando
sea necesario. Los cambios realizados en esta Poltica sern divulgados
a todos los colaboradores de SASF.

Artculo 81.- Es responsabilidad de cada uno de los colaboradores de

SASF la lectura y conocimiento de la Poltica de Seguridad ms reciente.

3.6.17 DISPOSICIONES TRANSITORIAS

Artculo primero.- Las disposiciones aqu enmarcadas, entrarn en vigor
a partir del da siguiente de su difusin.
Artculo segundo.- Las normas y polticas objeto de este documento,
podrn ser modificadas o adecuadas conforme a las necesidades que se
vayan presentando, mediante acuerdo del Comit Tcnico de Informtica

131

de la Empresa SASF(CTI); una vez aprobadas dichas modificaciones o

adecuaciones, se establecer su vigencia.

Artculo tercero.- Las disposiciones aqu descritas constarn de forma

detallada en los manuales de polticas y procedimientos especficos.

Artculo cuarto.- La falta de conocimiento de las normas aqu descritas

por parte de los colaboradores no los libera de la aplicacin de sanciones
y/o penalidades por el incumplimiento de las mismas.

3.7

BENEFICIOS

DE

IMPLANTAR

POLTICAS

DE

SEGURIDAD

INFORMTICA
Los beneficios de un sistema de seguridad con polticas claramente
concebidas bien elaboradas son inmediatos, ya que SASF trabajar sobre
una plataforma confiable, que se refleja en los siguientes puntos:

Aumento de la productividad.

132

Aumento de la motivacin del personal.

Compromiso con la misin de la compaa.

Mejora de las relaciones laborales.

Ayuda a formar equipos competentes.

Mejora de los climas laborales para los Recursos Humanos.