Manual de Politicas y Normas de Seguridad Informatica Sistem Contact - Center

MANUAL DE POLITICAS Y NORMAS DE SEGURIDAD INFORMATICA
SISTEM CONTACT - CENTER
ÍNDICE
INTRODUCCION
INTERPRETACIÓN
JUSTIFICACION
OBJETIVO GENERAL
OBJETIVO ESPECIFICO
VIGENCIA
ALCANCE
SANCIONES
BENEFICIOS
GLOSARIO
1. SEGURIDAD ORGANIZACIONAL
1.1 POLITICAS GENERALES DE SEGURIDAD
1.2 EXCEPCIONES DE RESPONSABILIDAD
1.3 CLASIFICACION Y CONTROL DE ACTIVOS
RESPONSABILIDAD POR LOS ACTIVOS
CLASIFICACIÓN DE LA INFORMACIÓN
1.4 SEGURIDAD LIGADA AL PERSONAL
REFERENTE A CONTRATOS
EL EMPLEADO
CAPACITACIÓN A USUARIOS
1.5 RESPUESTAS A INCIDENTES Y ANOMALIAS DE SEGURIDAD
2. SEGURIDAD LEGAL
2.1 CUMPLIMIENTO DE REQUISITOS LEGALES
LICENCIAMIENTO DE SOFTWARE
Elaborado por el Departamento Tecnología y Fecha: Julio 2012

Telecomunicaciones Ingeniera Ana Camargo Ayub
Versión 2.0
3. SEGURIDAD LOGÍSTICA
3.1 CONTROLES DE ACCESO A USUARIOS DE LA RED SISTEM CONTAC CENTER
3.2 ADMINISTRACIÓN DEL ACCESO A USUARIOS A LOS SERVICIOS INFORMATICOS DE
SISTEM CONTACT
RESPONSABILIDADES DEL USUARIO
NORMATIVA DEL USO DE CORREO ELECTRÓNICO
USOS ACEPTABLES DE LOS SERVICIOS DE INTERNET
3.3 CONTROL DE ACCESO RED
3.4 CONTROL DE ACCESO A LAS APLICACIONES
3.5 CONTROL DE ACCESO AL SISTEMA OPERATIVO
3.6 MONITOREO DEL ACCESO Y USO DEL SISTEMA
3.7 RESPONSABILIDAD Y PROCEDIMIENTOS OPERATIVOS
3.8 PLANIFICACION Y ACEPTACION DE SISTEMA
3.9 PROTECCION CONTRA SOFTWARE MALISIOSO
3.10 MANTENIMIENTO DE SISTEMAS Y EQUIPOS DE COMPUTOS
3.11 SEGURIDAD EN EL MANEJO DE LOS MEDIOS DE ALMACENAMIENTO
4. SEGURIDAD FÍSICA Y AMBIENTAL
4.1 SEGURIDAD DE LOS EQUIPOS
4.2 CONTROLES GENERALES
4.3 SEGURIDAD EN ACCESO DE TERCEROS
5. RECOMENDACIONES
6. PLAN ESTRATEGICO DE IMPLEMENTACION
6.1. DESCRIPCION DE PUESTOS Y PERFILES
6.1.1 UNIDAD DE SISTEMAS
6.1.2 PERFIL GESTOR DE SEGURIDAD
OBJETIVOS QUE DEBE CUMPLIR
FORMACION PROFESIONAL
HABILIDADES PERSONALES
DEBERES Y RESPONSABILIDADES
RESPONSABLE DE LOS ACTIVOS

Versión 2.0
INTRODUCCION
La base para que cualquier organización pueda operar de forma confiable en materia de seguridad
informática, comienza con la definición de las políticas.
La seguridad informática es una función en la que se debe evaluar y administrar los riesgos basándose en
las políticas que cubran las necesidades de Sistem Contact – Center en materia de seguridad.
El siguiente documento fue elaborado de manera sencilla para que sea interpretado por cualquier
trabajador de Sistem Contact - Center, independientemente de su nivel informativo, pretende ser el medio
de comunicación en el cual se establecen las reglas, normas y controles que regulen la forma en que la
empresa, prevenga, proteja y maneje los riesgos de seguridad en diversas circunstancias.
La aplicación de las normas expuestas en el presente documento se han ideado de forma que su
cumplimiento pueda efectuarse de la manera más simple y evitando interferir con las funciones de los
trabajadores, sin embargo en ningún momento pretenden ser normas absolutas, las mismas están sujetas a
cambios realizables en cualquier momento, siempre y cuando se tenga presente los objetivos de
seguridad.
Los recursos de la empresa están disponibles para fortalecer el flujo de información en materia de
Sistemas y Telecomunicaciones, así como el servir de apoyo en las diferentes tareas encomendadas para
el mejoramiento de nuestras labores. Por lo tanto el personal deberá enmarcar sus esfuerzos para que
todas las normas y políticas concernientes a su entorno de trabajo y utilización de recursos informáticos
se cumplan a cabalidad.
Toda persona que utilice los servicios que ofrece la red de la Empresa, deberá conocer y aceptar todo lo
establecido en este documento sobre su uso, el desconocimiento del mismo, no exonera de
responsabilidad al usuario ante cualquier eventualidad que involucre la seguridad de la información o de
la red de la empresa.
En términos generales este documento engloba los procedimientos adecuados que seden tener en Materia
de Seguridad Organizacional, Seguridad Legal, Seguridad Física, Seguridad Logística.
Versión 2.0
INTERPRETACION
Los niveles de seguridad fueron organizados constatando un enfoque objetivo de la situación real de la
Empresa, desarrollando cada política con sumo cuidado sobre que activo proteger, de que protegerlo,
como protegerlo y por que protegerlo. Los mismos se organizan siguiendo el esquema normativo de
seguridad del Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC y las normativas de
control interno como el MECI 1000 y de calidad como la NTCGP 1000 apoyado por estándares
internacionales (COSO, ISO9001 respectivamente) y que a continuación se representa.
1. Nivel de Seguridad Organizativo:

a. Seguridad Organizacional
b. Políticas Generales de Seguridad
c. Clasificación y Control de Activos
 Responsabilidad por los Activos
 Clasificación de la información
d. Seguridad ligada al personal
 puesta a incidentes y anomalías de Seguridad
2. Nivel de Seguridad Red legal

a. Seguridad Legal
b. Conformidad con la legislación
c. Cumplimiento de Requisitos legales
d. Revisión de políticas de seguridad y Cumplimiento Técnico
3. Nivel de Seguridad Física y Lógica

a. Controles de Acceso
b. Administración de Acceso de Usuarios
c. Controles de Acceso a las aplicaciones
d. Monitoreo del Acceso y uso del sistema

Versión 2.0
JUSTIFICACIÓN
La seguridad, en lo que se refiere a una infraestructura de información, es un concepto relacionado

con los componentes del sistema (el hardware), las aplicaciones utilizadas en la empresa (software) y
el manejo que se dé del conjunto (el conocimiento del usuario); por esta razón es un paso primordial
el establecer normativas y estándares que permitan obtener una base de manejo seguro de todo lo
relacionado con la infraestructura de comunicación de Sistem Contact – Center.
El presente documento busca establecer el ¿por qué?, el ¿qué? y el ¿cómo? proteger la información
que fluye a través del sistema de comunicaciones de Sistem Contact – Center, agrupando todas las
normas y políticas relacionadas con este fin, tomándose en cuenta todos los niveles de Seguridad del
Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC y las normativas de control
interno como el MECI 1000 y de calidad como la NTCGP 1000 apoyado por estándares
internacionales (COSO, ISO9001 respectivamente).
El sentar bases y normas de uso y seguridad informáticas dentro de Sistem Contact - Center respecto a
la manipulación y uso de aplicaciones y equipos computacionales permitirá optimizar los procesos
informáticos y elevará el nivel de seguridad de los mismos.

Versión 2.0
OBJETIVO GENERAL
Brindar la información necesaria a los usuarios de la Empresa, sobre las normas y mecanismos que
deben cumplir y utilizar para proteger el hardware, el software y la Red de Sistem Contact Center, así
como la información que es procesada en y almacenadas en estos.
OBJETIVOS ESPECÍFICOS
 Elaborar un manual de políticas de seguridad informática para el personal de Sistem Contact –

Center aptado a las necesidades y activos tecnológicos de la Empresa, así como a la naturaleza de la
información que se maneja en el mismo.
 Utilizar un lenguaje claro de establecimiento de políticas y estándares de seguridad para la fácil

aplicación de las mismas por parte del personal del Sistem Contact - Center
 Establecer niveles de seguridad en base al esquema normativo de Seguridad del Instituto

Colombiano de Normas Técnicas y Certificación, ICONTEC y las normativas de control interno
como el MECI 1000 y de calidad como la NTCGP 1000 apoyado por estándares internacionales
(COSO, ISO9001 respectivamente)
VIGENCIA
El documento presentado entrará en vigor desde el momento en que éste sea aprobado como documento
técnico de seguridad informática por la Junta directiva de Sistem Contact – Center
ALCANCE
El presente manual describe todas las normas, políticas y estándares que se aplicarán de manera
obligatoria de parte del personal de Sistem Contact Center, respecto a seguridad informática para
precautelar un correcto uso de equipos de cómputo y aplicaciones tecnológicas.

Versión 2.0
El ámbito de aplicación del manual de normas y políticas de seguridad informática, es la infraestructura

tecnológica y entorno informático de la red empresarial.
En ente que garantizará la ejecución y puesta en marcha de la normatividad y políticas de seguridad, es un

comité de Seguridad, conformado por el Departamento de Sistemas de de la Empresa y la Junta Directiva,
siendo el responsable de la supervisión y cumplimiento del Órgano Interno de Control.
SANCIONES
Las sanciones a aplicarse al personal que incumpla las normas descritas en este manual (que asumirá
todas las consecuencias producidas por este incumplimiento) quedan bajo el criterio de las autoridades de
Sistem Contact – Center
BENEFICIOS
El cumplimiento del presente manual de seguridad informática hará posible un mejor mantenimiento de
los bienes activos de la infraestructura tecnológica de Sistem Contact – Center, así como un manejo más
confiable de toda la información de la Empresa
GLOSARIO
Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de una persona
natural o jurídica que por lo general son generadores de renta o fuente de beneficios, en el ambiente
informático llámese activo a los bienes de información y procesamiento, que posee la Empresa. Recurso
del sistema de información o relacionado con éste, necesario para que la organización funcione
correctamente y alcance los objetivos propuestos.
Remota: Forma de administrar los equipos informáticos o servicios de Sistem Contat Center, a través de
terminales o equipos remotos, físicamente separados de la Empresa.
Amenaza: Es un evento que puede desencadenar un incidente en la organización, produciendo daños

materiales o pérdidas inmateriales en sus activos.
Versión 2.0
Archivo Log: Ficheros de registro o bitácoras de sistemas, en los que se recoge o anota los pasos que dan
(lo que hace un usuario, como transcurre una conexión, horarios de conexión, terminales o IP´s
involucradas en el proceso, etc.)
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Confidencialidad: Proteger la información de su revelación no autorizada. Esto significa que la

información debe estar protegida de ser copiada por cualquiera que no esté explícitamente autorizado por
el propietario de dicha información.
Cuenta: Mecanismo de identificación de un usuario, llámese de otra manera, al método de acreditación o

autenticación del usuario mediante procesos lógicos dentro de un sistema informático.
Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la

misma a través de computadoras necesarias para la operación normal de un negocio.
Soporte Técnico: (Personal en Outsourcing): Personal designado o encargado de velar por el correcto
funcionamiento de las estaciones de trabajo, servidores, o equipo de oficina dentro de la Empresa.
Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo, en un Dominio o en toda

la Organización.
Terceros: Empresas, proveedores de software, convenios educativos que tengan anexos con la Empresa.
Usuario: Defínase a cualquier persona jurídica o natural, que utilice los servicios informáticos de la red
Empresarial y tenga una especie de vinculación laboral con la Empresa.
Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo

Versión 2.0
1. SEGURIDAD ORGANIZACIONAL
1.1 POLITICAS GENERALES DE SEGURIDAD
Art. 1. Los servicios de la red de la Empresa son de exclusivo uso para el personal que trabaja en
dentro de ella cualquier cambio en la normativa de uso de los mismos, será expresa y adecuada
como política de seguridad en este documento.
Art. 2. Sistem Contact - Center nombrará un comité de seguridad, que de seguimiento al

cumplimiento de la normativa y propicie el entorno necesario para crear un Sistema de Gestión de
Seguridad Informática (SGSI) el cual tendrá entre sus funciones:
 Velar por la seguridad de los activos informáticos
 Gestión y procesamiento de información.
 Cumplimiento de políticas
 Aplicación de sanciones.
 Elaboración de planes de seguridad.
 Capacitación de usuarios en temas de seguridad.
 Gestionar y coordinar esfuerzos, por crear un plan de contingencia, que dé sustento o
solución, a problemas de seguridad dentro de la Empresa.
 El mismo orientará y guiará a los empleados, la forma o métodos necesarios para salir
avante ante cualquier eventualidad que se presente
 Informar sobre problemas de seguridad a Gerencia de la Empresa
 Poner especial atención a los usuarios de la red Empresarial sobre sugerencias o quejas
con respecto al funcionamiento de los activos de información
El comité de seguridad estará integrado por los siguientes miembros:
1. Gerencia
2. Gestor de Seguridad (Asesores Externo)
3. Director De Tecnología y Telecomunicaciones
4. Data Marshall

Versión 2.0
Art. 3. El administrador de cada unidad organizativa dentro de la red empresarial es el único

responsable de las actividades procedentes de sus acciones.
Art. 4. El administrador de sistemas es el encargado de mantener en buen estado los servidores dentro
de la red Empresarial.
Art. 5. Todo usuario de la red de Sistem Contact - Center, gozará de absoluta privacidad sobre su
información, o la información que provenga de sus acciones, salvo en casos, en que se vea
involucrado en actos ilícitos o contraproducentes para la seguridad de la red Empresarial, sus servicios
o cualquier otra red ajena a la Empresa
Art. 6. Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los requisitos mínimos
de seguridad para acceder a este servicio y se acaten las disposiciones de conectividad de la unidad de
informática.
Art. 7. Las actividades de los Asesore en los centros de cómputo, tienen la primera prioridad, por lo
que a cualquier usuario utilizando otro servicio (por ejemplo Internet o "Chat")sin estos fines, se le
podrá solicitar dejar libre la estación de trabajo, si así, fuera necesario. Esto es importante para
satisfacer la demanda de estaciones en horas pico o el uso de estaciones con software especializado
1.2 EXCEPCIONES DE RESPONSABILIDAD
Art. 1. Los usuarios que por disposición de sus superiores realicen acciones que perjudiquen a otros
usuarios o la información que estos procesan, y si estos no cuentan con un contrato de confidencialidad y
protección de la información de la Empresa o sus allegados
Art. 2. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir algunas de las políticas
enumeradas en este documento, debido a la responsabilidad de su cargo, o a situaciones no programadas.
Estas excepciones deberán ser solicitadas formalmente y aprobadas por el comité de seguridad, con la
documentación necesaria para el caso, siendo la gerencia quien dé por sentada su aprobación final

Versión 2.0
1.3. CLASIFICACIÓN Y CONTROL DE ACTIVOS

RESPONSABILIDAD POR LOS ACTIVOS
Art. 1. Cada departamento, tendrá un responsable por el/los activo/s crítico/s o de mayor importancia
para la Empresa.
Art. 2. La persona responsable de los activos de cada unidad organizativa o área de trabajo, velará por la
salvaguarda de los activos físicos (hardware y medios magnéticos, aires acondicionados, mobiliario.),
activos de información (Bases de Datos, Archivos, Documentación de sistemas, Procedimientos
Operativos configuraciones), activos de software (aplicaciones, software de sistemas, herramientas y
programas de desarrollo)
Art. 3. Los administradores de los sistemas son los responsables de la seguridad de la información
almacenada en esos recursos
CLASIFICACIÓN DE LA INFORMACIÓN
Art. 1. De forma individual, los departamentos de Sistem Contact - Center, son responsables, de clasificar
de acuerdo al nivel de importancia, la información que en ella se procese.
Art. 2. Se tomarán como base, los siguientes criterios, como niveles de importancia, para clasificar la
información:
a) Pública
b) Interna
c) Confidencial
Art. 3. Los activos de información de mayor importancia para la Empresa deberán clasificarse por su
nivel de exposición o vulnerabilidad

Versión 2.0
1.4. SEGURIDAD LIGADA AL PERSONAL

REFERENTE A CONTRATOS:
Art. 1. Se entregará al contratado, toda la documentación necesaria para ejercer sus labores dentro de la
Empresa, en el momento en que se dé por establecido su contrato laboral.
EL EMPLEADO:
Art. 1. La información procesada, manipulada o almacenada por el empleado es propiedad exclusiva de

Sistem Contact - Center.
Art. 2. Sistem Contact - Center no se hace responsable por daños causados provenientes de sus
empleados a la información o activos de procesamiento, propiedad de la Empresa, daños efectuados desde
sus instalaciones de red a equipos informáticos externos
CAPACITACION DE USUARIOS:
Art. 1. Los usuarios de la red, serán capacitados en cuestiones de seguridad de la información, según sea
el área operativa y en función de las actividades que se desarrollan
Art. 2. Se deben tomar todas las medidas de seguridad necesarias, antes de realizar una capacitación a
personal ajeno o propio de la Empresa, siempre y cuando se vea implicada la utilización de los servicios
de red o se exponga material de importancia considerable para la Empresa
1.5. RESPUESTAS A INCIDENTES Y ANOMALÍAS DE SEGURIDAD:
Art. 1. Se realizarán respaldos de la información, diariamente, para los activos de mayor importancia o
críticos, un respaldo semanal que se utilizará encaso de fallas y un tercer respaldo efectuado
mensualmente, el cual deberá ser guardado y evitar su utilización a menos que sea estrictamente
necesaria.

Versión 2.0
2. SEGURIDAD LEGAL
2.1. CUMPLIMIENTO DE REQUISITOS LEGALES
LICENCIAMIENTO DE SOFTWARE:
Art. 1. Sistem Contact - Center, se reserva el derecho de respaldo, a cualquier miembro de la Empresa,
ante cualquier asunto legal relacionado a infracciones a las leyes de copyright o piratería de software.
Art. 2. Todo el software comercial que utilice Sistem Contact Center, deberá estar legalmente registrado,
en los contratos de arrendamiento de software con sus respectivas licencias.
Art. 3. La adquisición de software por parte de personal que labore en la Empresa, no expresa el
consentimiento de la Empresa, la instalación del mismo, no garantiza responsabilidad alguna para Sistem
Contact - Center, por ende la Empresa no se hace responsable de las actividades de sus empleados.
Art. 4. Tanto el software comercial como el software libre son propiedad intelectual exclusiva de sus
desarrolladores, Sistem Contact – Center, respeta la propiedad intelectual y se rige por el contrato de
licencia de sus autores.
Art. 5. El software comercial licenciado a Sistem Contact - Center, es propiedad exclusiva de la Empresa,
la misma se reserva el derecho de reproducción de éste, sin el permiso de sus autores, respetando el
esquema de cero piratería y/o distribución a terceros.
Art. 6. En caso de transferencia de software comercial a terceros, se harán las gestiones necesarias para
su efecto y se acataran las medidas de licenciamiento relacionadas con la propiedad intelectual.
Art. 7. Las responsabilidades inherentes al licenciamiento de software libre son responsabilidad absoluta
de Sistem Contact Center
Art. 3. Cualquier acción que amerite la ejecución de una auditoria a los sistemas informáticos deberá ser
documentada y establecida su aplicabilidad y objetivos de la misma, así como razones para su ejecución,
personal involucrada en la misma y sistemas implicados.

Versión 2.0
Art. 4. La auditoria no deberá modificar en ningún momento el sistema de archivos de los sistemas
implicados, en caso de haber necesidad de modificar algunos, se deberá hacer un respaldo formal del
sistema o sus archivos.
Art. 5. Las herramientas utilizadas para la auditoria deberán estar separadas de los sistemas de
producción y en ningún momento estas se quedaran al alcance de personal ajeno a la elaboración de la
auditoria
3 SEGURIDAD LOGISTICA
3.1 CONTROL DE ACCESOS
Art. 1. El Gestor de Seguridad proporcionará toda la documentación necesaria para agilizar la utilización
de los sistemas, referente a formularios, guías, controles, otros.
Art. 2. Cualquier petición de información, servicio o acción proveniente de un determinado usuario o

departamento, se deberá efectuar siguiendo los canales de gestión formalmente establecidos por la
Empresa, para realizar dicha acción; no dar seguimiento a esta política implica:
a. Negar por completo la ejecución de la acción o servicio
b. Informe completo dirigido a comité de seguridad, mismo será realizado por la persona o el
departamento al cual le es solicitado el servicio.
c. Sanciones aplicables por autoridades de nivel superior, previamente discutidas con el comité de
seguridad
3.2 ADMINISTRACIÓN DEL ACCESO DE USUARIOS
Art. 1. Son usuarios de la red el personal, administrativos, secretarias, Asesores, Supervisores,

Coordinadores y toda aquella persona, que tenga contacto directo como empleado y utilice los servicios
de la red de Sistem Contact Center.
Art. 2. Se asignará una cuenta de acceso a los sistemas de la intranet, a todo usuario de la red, siempre y
cuando se identifique previamente el objetivo de su uso o permisos explícitos a los que este accederá,
junto a la información personal del usuario.
Versión 2.0
Art. 3. Los Asesores, son usuarios limitados, estos tendrán acceso únicamente a los servicios de Internet
y recursos compartidos de la red, cualquier cambio sobre los servicios a los que estos tengan acceso, será
motivo de revisión y modificación de esta política, adecuándose a las nuevas especificaciones.
Art. 4. Se consideran usuarios externos o terceros, cualquier entidad o persona natural, que tenga una
relación con la Empresa fuera del ámbito de empleador/empleado y siempre que tenga una vinculación
con los servicios de la red.
.Art. 5. El acceso a la red por parte de terceros es estrictamente restrictivo y permisible únicamente
mediante firma impresa y documentación de aceptación de confidencialidad hacia la Empresa y
comprometido con el uso exclusivo del servicio para el que le fue provisto el acceso.
Art. 6. No se proporcionará el servicio solicitado por un usuario, departamento, sin antes haberse
completado todos los procedimientos de autorización necesarios para su ejecución.
Art. 7. Se creará una cuenta temporal del usuario, en caso de olvido o extravío de información de la
cuenta personal, para brindarse al usuario que lo necesite, siempre y cuando se muestre un documento de
identidad personal.
Art. 8. La longitud mínima de caracteres permisibles en una contraseña se establece en 6 caracteres, los
cuales tendrán una combinación alfanumérica, incluida en estos caracteres especiales.
Art. 9. La longitud máxima de caracteres permisibles en una contraseña se establece en 12 caracteres,

siendo esta una combinación de Mayúsculas y minúsculas
RESPONSABILIDADES DEL USUARIO
Art. 1. El usuario es responsable exclusivo de mantener a salvo su contraseña.
Art. 2. El usuario será responsable del uso que haga de su cuenta de acceso a los sistemas o servicios.

Versión 2.0
Art. 3. Se debe evitar el guardar o escribir las contraseñas en cualquier papel o superficie o dejar
constancia de ellas, a menos que ésta se guardada en un lugar seguro.
Art. 4. El usuario es responsable de eliminar cualquier rastro de documentos proporcionados por el

Gestor de Seguridad, que contenga información que pueda facilitar a un tercero la obtención de la
información de su cuenta de usuario.
Art. 5. El usuario es responsable de evitar la práctica de establecer contraseñas relacionadas con alguna
característica de su persona o relacionado con su vida o la de parientes, como fechas de cumpleaños o
alguna otra fecha importante.
Art. 6. El usuario deberá proteger su equipo de trabajo, evitando que personas ajenas a su cargo puedan
acceder a la información almacenada en el, mediante una herramienta de bloqueo temporal (protector de
pantalla), protegida por una contraseña, el cual deberá activarse en el preciso momento en que el usuario
deba ausentarse
NORMATIVA DEL USO DE CORREO ELECTRÓNICO:
Art. 1. El servicio de correo electrónico, es un servicio gratuito, y no garantizable, se debe hacer uso de
él, acatando todas las disposiciones de seguridad diseñadas para su utilización y evitar el uso o
introducción de software malicioso a la red de la Empresa.
Art. 2. El correo electrónico es de uso exclusivo, para los empleados de Sistem Contact - Center y
accionistas de la misma.
Art. 3. Todo uso indebido del servicio de correo electrónico, será motivo de suspensión temporal de su
cuenta de correo o según sea necesario la eliminación total de la cuenta dentro del sistema.
Art. 4. El usuario será responsable de la información que sea enviada con su cuenta.
Art. 5. El comité de seguridad, se reservará el derecho de monitorear las cuentas de usuarios, que
presenten un comportamiento sospechoso para la seguridad de la red de la Empresa.
Versión 2.0
Art. 6. El usuario es responsable de respetar la ley de derechos de autor, no abusando de este medio para
distribuir de forma ilegal licencias de software o reproducir información sin conocimiento del autor.
USO ACEPTABLES DE LOS SERVICIOS DE INTERNET.
Al utilizar cualquiera de los servicios de Internet suministrados por o a través de la red de Sistem Contact
- Center, incluyendo sin limitación alguna, acceso al internet, correo electrónico, áreas de charla, canales
de compras; el término "Contenido(s)" significa cualquiera o todas las informaciones, datos, materiales,
textos, imágenes, videos, audios, y programas de computación suministrados por la red.; y el término
"Usuario(s)" significa cualquier persona que aceza o utiliza cualquier Servicio o Contenido,
independientemente si dicha persona tiene o no una cuenta con Sistem Contact-Center usted acepta y
acuerda estar legalmente obligado y cumplir con los siguientes términos y condiciones de uso
(colectivamente denominados "Política de Uso"):
a. Reconocer que al utilizar este Servicio, usted podría estar expuesto a Contenidos ofensivos,
indecentes u objetables.
b. Aceptar que bajo ninguna circunstancia Sistemcc.com será responsable, de forma alguna, del
Contenido, incluyendo sin limitación alguna, ningún error u omisión, pérdida o daño de ningún
tipo que incurra como resultado de su exposición a, uso de, o fiabilidad sobre el Contenido.
c. Tanto el acceso al sitio web de la empresa, como el uso que pueda hacerse de la información y
contenidos incluidos en la misma o accesibles desde ella, será de la exclusiva responsabilidad de
quien lo realice, sin que la empresa pueda tener responsabilidad alguna por dichos usos.
d. El uso de la Internet en el trabajo - como otras herramientas - se encuentra autorizado solo para
manejar negocios de la empresa. El acceso por Internet a sitios no autorizados da la posibilidad de
crear brechas de seguridad y confidencialidad de valiosos datos de la empresa. Otro efecto
colateral es la pérdida de velocidad de acceso de banda de conexión con la que paga y opera la
empresa

Versión 2.0
e. No podrá Coleccionar, almacenar, divulgar, transmitir o solicitar cualquier material, información,

mensaje o comunicación que pueda infringir o violar cualquier patente, derechos de autor, marcas,
secretos empresariales o cualquier otro derecho intelectual de otra persona.
f. No podrá coleccionar, almacenar, divulgar, transmitir, o solicitar información personal a niños

menores de 13 años.
g. No podrá coleccionar, divulgar, transmitir o solicitar programas de computación dañinos, virus,

códigos, expedientes o programas;
h. Falsificar información del Usuario;
i. Hacer ofertas fraudulentas de compra o venta, así como también, conducir cualquier tipo de fraude
financiero, tales como "Cartas en Cadena" o "Las Pirámides";
j. Enviar correo electrónico solicitando donaciones caritativas, peticiones de firmas o cualquier

material relacionado;
k. Enviar correo electrónico no solicitado que, a la sola discreción de Sistemcc.com, pueda provocar
quejas;
l. Transmitir, divulgar o distribuir correo electrónico no solicitado, a cualquier persona;
m. Enviar correo electrónico no solicitado sin la identificación clara y fácil sobre la forma de ser
excluido de la lista de futuros correos electrónicos de quien lo origino.
n. Falsificar encabezados de correos electrónicos, utilizar nombres de dominio que sean inválidos o
inexistentes, u otras formas engañosas de enviar correo electrónico.
o. Transmitir correo electrónico en forma anónima, retransmitir correo electrónico a servidores de

correos de terceras partes sin el permiso correspondiente, o utilizar técnicas similares con el
propósito de esconder o camuflar la fuente del correo electrónico;
p. Agregar, remover, o modificar encabezados de redes con información personal, con el propósito
de engañar o defraudar;
Versión 2.0
q. Personificar o intentar personificar a otra persona a través de la utilización de encabezados

falsificados u otra información personal
r. Hacer o intentar hacer, cualquier cosa que afecte desfavorablemente la habilidad de utilizar el
servicio de internet por otros Usuarios, incluyendo sin limitación alguna, "negación de servicios"
ataques contra otros sistemas o contra el anfitrión de redes u otros Usuarios.
s. Sobrecargar, inundar, atacar o de otra forma sabotear o interferir con nuestro sistema y/o redes, a
través del envío de correos electrónicos o piratería de internet;
t. Hacer o intentar hacer, sin permiso del dueño o del anfitrión del sistema o de la red, cualquiera de
los siguientes actos: acezar el sistema o red, monitorear datos o tráfico, sondear, copiar, probar
"firewalls", atentar contra la vulnerabilidad del sistema o redes, o violar las medidas de seguridad
o las rutinas de autenticación del sistema o de la red.
u. Revender o intentar revender, cualquiera de los Servicios sin la autorización de Sistem Contact -
Center;
v. Involucrarse en cualquiera de las actividades mencionadas utilizando los servicios de otros

proveedores, pero canalizando dichas actividades a través de la cuenta de Sistem Contact -
Center.com, o utilizando la cuenta de Sistemcc.com para recibir las respuestas o solicitudes, o
utilizar los servicios de otro proveedor, con el propósito de facilitar cualquiera de las
anteriormente mencionas actividades en caso de que la Empresa determine razonablemente que
dicha utilización pueda afectar en forma adversa los Servicios de la red
w. utilizar cualquier Servicio para violar la política de uso y/o términos de uso aceptable de otro
proveedor de servicios de internet
Cualquier violación a estas políticas puede resultar en responsabilidad u obligación de carácter civil o
criminal, y Sistem Contact – Center podrá conjuntamente con cualquier otra solución que pueda tener en
la ley o en la equidad, inmediatamente cancelar el permiso al Usuario o, a todos los Usuarios si lo
considerase necesario, de utilizar el Servicio. Sistem Contact - Center se reserva el derecho de eliminar o

Versión 2.0
Trasladar materiales, informaciones, mensajes o comunicaciones que, a la sola discreción de

Sistemcc.com, puedan ser ilegales, o que puedan obligar a la empresa, o que puedan violar esta política.
La violación de esta Política de Uso por cualquier persona que solo tenga acceso indirecto a los servicios
a través de un suscriptor o miembro de los servicios será considerada una violación por el suscriptor o
miembro, con o sin el conocimiento o consentimiento del subscriptor o miembro.
Sistem Contact - Center, podrá investigar cualquier sospecha o alegato sobre la violación de esta política
y cooperar con la aplicación de las leyes, autoridades y/o terceras partes, en las investigaciones
correspondientes
3.3 CONTROL DE ACCESO A LA RED

Art. 1. El acceso a la red interna, se permitirá siempre y cuando se cumpla con los requisitos de seguridad
necesarios, y éste será permitido mediante un mecanismo de autenticación.
Art. 2. Se debe eliminar cualquier acceso a la red sin previa autenticación o validación del usuario o el
equipo implicado en el proceso.
Art. 3. Cualquier alteración del tráfico entrante o saliente a través de los dispositivos de acceso a la red,
será motivo de verificación y tendrá como resultado directo la realización de una auditoria de seguridad.
Art. 4. El departamento de Sistemas deberá emplear dispositivos de red para el bloqueo, enrutamiento, o
el filtrado de tráfico evitando el acceso o flujo de información, no autorizada hacia la red interna o desde
la red interna hacia el exterior.
Art. 5. Los accesos a la red interna o local desde una red externa de la Empresa o extranet, se harán
mediante un mecanismo de autenticación seguro y el trafico entre ambas redes o sistemas será cifrado con
una encriptación de 128 bit.
Art. 6. Se registrara todo acceso a los dispositivos de red, mediante archivos de registro o Log, de los
dispositivos que provean estos accesos.

Versión 2.0
Art. 7. Se efectuara una revisión de Log de los dispositivos de acceso a la red en un tiempo máximo de 48
horas
3.3 CONTROL DE ACCESO A LAS APLICACIONES
Art. 1. Las aplicaciones deberán estar correctamente diseñadas, con funciones de acceso especificas para
cada usuario del entorno operativo de la aplicación.
Art. 2. Se deberá definir y estructurar el nivel de permisos sobre las aplicaciones, de acuerdo al nivel de
ejecución o criticidad de las aplicaciones o archivos, y haciendo especial énfasis en los derechos de
escritura, lectura, modificación, ejecución o borrado de información.
Art. 3. Se deberán efectuar revisiones o pruebas minuciosas sobre las aplicaciones, de forma aleatoria,
sobre distintas fases, antes de ponerlas en un entorno operativo real, con el objetivo de evitar
redundancias en las salidas de información u otras anomalías.
Art. 4. Las salidas de información, de las aplicaciones, en un entorno de red, deberán ser documentadas, y
especificar la terminal por la que deberá ejecutarse exclusivamente la salida de información.
Art. 5. Se deberá llevar un registro mediante Log de aplicaciones, sobre las actividades de los usuarios en
cuanto a accesos, errores de conexión, horas de conexión, intentos fallidos, terminal desde donde conecta,
entre otros, de manera que proporcionen información relevante y revisable posteriormente.
3.4 CONTROL DE ACCESO AL SISTEMA OPERATIVO
Art. 1. Se deshabilitarán las cuentas creadas por ciertas aplicaciones con privilegios de sistema, (cuentas
del servidor de aplicaciones, cuentas de herramientas de auditoría, etc.) evitando que estas corran sus
servicios con privilegios nocivos para la seguridad del sistema.
Art. 2. Al terminar una sesión de trabajo en las estaciones, los operadores o cualquier otro usuario, evitara
dejar encendido el equipo, pudiendo proporcionar un entorno de utilización de la estación de trabajo
Servidores

Versión 2.0
Art. 3. El acceso a la configuración del sistema operativo de los servidores, es únicamente permitido al
usuario administrador.
Art. 4. Los administradores de servicios, tendrán acceso único a los módulos de configuración de las
respectivas aplicaciones que tienen bajo su responsabilidad
Art. 5. Todo servicio provisto o instalado en los servidores, correrá o será ejecutado bajo cuentas
restrictivas, en ningún momento se obviaran situaciones de servicios corriendo con cuentas
administrativas, estos privilegios tendrán que ser eliminados o configurados correctamente
3.5 MONITOREO DEL ACCESO Y USO DEL SISTEMA
Art. 1. Se registrará y archivará toda actividad, procedente del uso de las aplicaciones, sistemas de
información y uso de la red, mediante archivos de Log o bitácoras de sistemas.
Art. 2. Los archivos de Log, almacenarán nombres de usuarios, nivel de privilegios, IP de terminal, fecha
y hora de acceso o utilización, actividad desarrollada, aplicación implicada en el proceso, intentos de
conexión fallidos o acertados, archivos a los que se tuvo acceso, entre otros.
Art. 3. Se efectuará una copia automática de los archivos de Log, y se conducirá o enviara hacia otra
terminal o servidor, evitando se guarde la copia localmente donde se produce.
3.6 RESPONSABILIDADES Y PROCEDIMIENTOS OPERATIVOS
Art. 1. El personal administrador de algún servicio, es el responsable absoluto por mantener en óptimo
funcionamiento ese servicio, coordinar esfuerzos con el gestor de seguridad, para fomentar una cultura de
administración segura y servicios óptimos.
Art. 2. Las configuraciones y puesta en marcha de servicios, son normadas por el departamento de
Sistemas, y el comité de seguridad.
Art. 3. El personal responsable de los servicios, llevará archivos de registro de fallas de seguridad del
sistema, revisara, estos archivos de forma frecuente y en especial después de ocurrida una falla.
Versión 2.0
3.7 PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS
Art. 1. La unidad de sistemas, o personal de la misma dedicado o asignado en el área de programación o

planificación y desarrollo de sistemas, efectuará todo el proceso propio de la planificación, desarrollo,
adquisición, comparación y adaptación del software necesario para Sistem Contact - Center.
Art. 2. La aceptación del software se hará efectiva por la Gerencia de Empresa, previo análisis y pruebas
efectuadas por el personal de sistemas.
Art. 3. Únicamente se utilizará software certificado o en su defecto software previamente revisado y

aprobado, por personal calificado en el área de seguridad.
Art. 4. La aceptación y uso de los sistemas no exonera, de responsabilidad alguna sobre el gestor de
seguridad, para efectuar pruebas o diagnósticos a la seguridad de los mismos.
Art. 5. El software diseñado localmente o llámese de otra manera desarrolladas por programadores
internos, deberán ser analizados y aprobados, por el gestor de seguridad, antes de su implementación.
Art. 6. Es tarea de programadores el realizar pruebas de validación de entradas, en cuanto a:

 Valores fuera de rango.
 Caracteres inválidos, en los campos de datos.
 Datos incompletos.
 Datos con longitud excedente o valor fuera de rango.
 Datos no autorizados o inconsistentes.
 Procedimientos operativos de validación de errores
 Procedimientos operativos para validación de caracteres.
 Procedimientos operativos para validación de la integridad de los datos.
 Procedimientos operativos para validación e integridad de las salidas
Art. 7 Toda prueba de las aplicaciones o sistemas, se deberá hacer teniendo en cuenta las medidas de
protección de los archivos de producción reales.

Versión 2.0
Art. 8. Cualquier prueba sobre los sistemas, del ámbito a la que esta se refiera deberá ser documentada y
cualquier documento o archivo que haya sido necesario para su ejecución deberá ser borrado de los
dispositivos físicos, mediante tratamiento electrónico
3.9 PROTECCIÓN CONTRA SOFTWARE MALICIOSO

Art. 1. Se adquirirá y utilizará software únicamente de fuentes confiables.
Art. 2. En caso de ser necesaria la adquisición de software de fuentes no confiables, este se adquirirá en
código fuente
Art. 3. Los servidores, al igual que las estaciones de trabajo, tendrán instalado y configurado
correctamente software antivirus actualizable y activada la protección en tiempo real.
3.10. MANTENIMIENTO DE SISTEMAS Y EQUIPOS DE CÓMPUTO

Art. 1. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del
personal de la unidad de informática, o del personal de soporte técnico.
Art. 2. El cambio de archivos de sistema, no es permitido, sin una justificación aceptable y verificable por
el gestor de seguridad.
Art. 3. Se llevará un registro global del mantenimiento efectuado sobre los equipos y cambios realizados
desde su instalación
3.11. SEGURIDAD EN EL MANEJO DE LOS MEDIOS DE ALMACENAMIENTO
Art. 1. Los medios de almacenamiento o copias de seguridad del sistema de archivos, o información de la
Empresa, serán etiquetados de acuerdo a la información que almacenan u objetivo que suponga su uso,
detallando o haciendo alusión a su contenido.
Art. 2. Los medios de almacenamiento con información crítica o copias de respaldo deberán ser
manipulados única y exclusivamente por el personal encargado de hacer los respaldos y el personal
encargado de su salvaguarda.
Versión 2.0
Art. 3. Todo medio de almacenamiento con información crítica será guardado bajo llave en una caja
especial a la cual tendrá acceso únicamente, el gestor de seguridad o la gerencia administrativa, esta caja
no debería ser removible, una segunda copia será resguardada por un tercero, entidad financiera o afín
Art. 4. Se llevará un control, en el que se especifiquen los medios de almacenamiento en los que se debe
guardar información y su uso.
4. SEGURIDAD FÍSICA Y AMBIENTAL

Los mecanismos de control de acceso físico para el personal y terceros deben permitir el acceso a las
instalaciones y áreas restringidas de la Coordinación General Administrativa sólo a personas
autorizadas para la salvaguarda de los equipos de cómputo y de comunicaciones.
4.1 SEGURIDAD DE LOS EQUIPOS
Art. 1. El cableado de red, se instalará físicamente separado de cualquier otro tipo de cables, llámese a
estos de corriente o energía eléctrica, para evitar interferencias.
Art. 2. Los servidores, sin importar al grupo al que estos pertenezcan, con problemas de hardware,
deberán ser reparados localmente, de no cumplirse lo anterior, deberán ser retirados sus medios de
almacenamiento.
Art. 3. Los equipos o activos críticos de información y proceso, deberán ubicarse en áreas aisladas y
seguras, protegidas con un nivel de seguridad verificable y manejable por el gestor de seguridad y las
personas responsables por esos activos, quienes deberán poseer su debida identificación
Art. 4. Los usuarios no deben mover o reubicar los equipos de cómputo o de telecomunicaciones, instalar
o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorización del Área de Sistemas y
Calidad, en caso de requerir este servicio deberá solicitarlo.
Art.5. El Área de Inventarios será la encargada de generar el resguardo y recabar la firma del usuario
informático como responsable de los activos informáticos que se le asignen y de conservarlos en la
ubicación autorizada por el Sistemas y Técnica

Versión 2.0
Art. 6. Será responsabilidad del usuario solicitar la capacitación necesaria para el manejo de las
herramientas informáticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para
aprovechar al máximo las mismas
Art. 7. Es responsabilidad de los usuarios almacenar su información únicamente en la Ruta que la

empresa indique, ya que las otras están destinadas para archivos de programa y sistema operativo
Art. 8. Mientras se opera el equipo de cómputo, no se deberán consumir alimentos o ingerir líquidos.
Art. 9. Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilación del monitor o
del CPU
Art. 10. Se debe mantener el equipo informático en un entorno limpio y sin humedad.
Art. 11. El usuario debe asegurarse que los cables de conexión no sean pisados o pinchados al colocar
otros objetos encima o contra ellos en caso de que no se cumpla solicitar un reacomodo de cables con el
personal de Sistemas y Calidad
Art. 12. Cuando se requiera realizar cambios múltiples del equipo de cómputo derivado de reubicación de
lugares físicos de trabajo, éstos deberán ser notificados con una semana de anticipación al área de
Sistemas y Calidad a través de un plan detallado.
Art. 13. Queda prohibido que el usuario abra o desarme los equipos de cómputo 3.5 Mantenimiento de
equipo
Art. 14 Únicamente el personal autorizado por el Área de Sistemas y Calidad podrá llevar a cabo los
servicios y reparaciones al equipo informático.
Art. 15. Los usuarios deberán asegurarse de respaldar en el servidor la información que consideren
relevante cuando el equipo sea enviado a reparación y borrar aquella información sensible que se
encuentre en el equipo, previendo así la pérdida involuntaria de información, derivada del proceso de
reparación.

Versión 2.0
Art. 13. El usuario que tenga bajo su resguardo algún equipo de cómputo, será responsable de su uso y
custodia; en consecuencia, responderá por dicho bien de acuerdo a la normatividad vigente en los casos
de robo, extravío o pérdida del mismo.
4.2 CONTROLES GENERALES

Art. 1. Las estaciones o terminales de trabajo, con procesamientos críticos no deben de contar con medios
de almacenamientos extraíbles, que puedan facilitar el robo o manipulación de la información por terceros
o personal que no deba tener acceso a esta información
Art. 2. En ningún momento se deberá dejar información sensible de robo, manipulación o acceso visual,
sin importar el medio en el que esta se encuentre, de forma que pueda ser alcanzada por terceros o
personas que no deban tener acceso a esta información.
Art. 3. Deberá llevarse un control exhaustivo del mantenimiento preventivo y otro para el mantenimiento
correctivo que se les haga a los equipos
Art. 4. Toda oficina o área de trabajo debe poseer entre sus inventarios, herramientas auxiliares
(extintores, alarmas contra incendios, lámpara de emergencia), necesarias para salvaguardar los recursos
tecnológicos y la información.
Art. 5. Toda visita a las oficinas de tratamiento de datos críticos e información (unidad de Sistemas, sala
de servidores entre otros) deberá ser registrada mediante el formulario de accesos a las salas de
procesamiento crítico, para posteriores análisis del mismo.
Art. 6. La sala o cuarto de servidores, deberá estar separada de las oficinas administrativas de la unidad
de Sistemas o cualquier otra unidad, departamento o sala de recepción del personal, mediante una división
en la unidad de Sistemas, recubierta de material aislante o protegido contra el fuego, Esta sala deberá ser
utilizada únicamente por las estaciones prestadoras de servicios y/o dispositivos a fines
Art. 7. El suministro de energía eléctrica debe hacerse a través de un circuito exclusivo para los equipos
de cómputo, o en su defecto el circuito que se utilice no debe tener conectados equipos que demandan
grandes cantidades de energía.
Versión 2.0
Art. 8. El suministro de energía eléctrica debe estar debidamente polarizado, no siendo conveniente la
utilización de polarizaciones locales de tomas de corriente, sino que debe existir una red de polarización.
Art. 9. Las instalaciones de las áreas de trabajo deben contar con una adecuada instalación eléctrica, y
proveer del suministro de energía mediante una estación de alimentación ininterrumpida o UPS para
poder proteger la información.
Art. 10. Las salas o instalaciones físicas de procesamiento de información deberán poseer información en
carteles, sobre accesos, alimentos o cualquier otra actividad contraria a la seguridad de la misma o de la
información que ahí se procesa
4.3 SEGURIDAD EN ACCESO DE TERCEROS
Art. 1. El acceso de terceros será concedido siempre y cuando se cumplan con los requisitos de seguridad
establecidos en el contrato de trabajo o asociación para el servicio, el cual deberá estar firmado por las
entidades involucradas en el mismo.
Art. 2. Todo usuario externo, estará facultado a utilizar única y exclusivamente el servicio que le fue
asignado, y acatar las responsabilidades que devengan de la utilización del mismo.
Art. 3. Los servicios accedidos por terceros acataran las disposiciones generales de acceso a servicios por
el personal interno de Sistem Contact - Center, además de los requisitos expuestos en su contrato con la
Empresa.
5, RECOMENDACIONES
 Crear un Sistema de Gestión de Seguridad de la Información, que supervise y normalice, toda
actividad relacionada con la seguridad informática.
 Aprobar y poner en marcha el manual de políticas y normas de seguridad informática.
 Actualizar de forma constante, transparente y de acuerdo a las necesidades existentes al momento,

el manual de normas y políticas de seguridad informática.
Versión 2.0
 Asignar presupuesto para la gestión de seguridad de la información, independiente de la unidad de

informática.
 Asignar personal al área de seguridad de la información.
 Crear un comité de seguridad de la información
 Involucrar tanto personal técnico, como directivos de la Empresa, o a la alta gerencia en temas de
seguridad.
 Fijar objetivos para la salvaguarda de la información.
 Concienciar los usuarios, en temas de seguridad, hacerles sentirse responsables y parte de la

Empresa.
 Dar seguimiento a estándares internacionales sobre temas de seguridad de la información.
 Realizar pruebas de intrusión, locales y externas por personal de la Empresa, de forma periódica
 Contratar los servicios de terceros (Hacking ético), para ejecutar pruebas completas de intrusión a
los sistemas de la red Empresarial.
 Capacitar los empleados de la Empresa, en temas de seguridad, adoptando un estricto control de

las técnicas más comunes de persuasión de personal (Ingeniería Social).
 El departamento de recursos humanos, deberá constatar, una clara y eficiente información sobre el
individuo en proceso de reclutamiento, referente a problemas o situaciones anómalas con otras
empresas o en el menor de los casos una solvencia judicial.

Versión 2.0
6.0 PLAN ESTRATEGICO DE IMPLEMENTACION

6.1 DESCRIPCIÓN DE PUESTOS Y PERFILES
6.1.1 UNIDAD DE SISTEMAS
Corresponde a la unidad de Sistemas de Sistem Contact Center, la supervisión y verificación de las redes
y los dispositivos de comunicación de la Empresa, con especial atención a la compatibilidad de equipos y
condiciones de seguridad de las instalaciones, así como el cumplimiento de la normativa técnica sobre
verificaciones de los equipos que en cada caso sea aplicable. Es responsabilidad del Departamento de
Sistemas, la organización y puesta en marcha de las comunicaciones informáticas necesarias dentro de las
instalaciones de Sistem Contact Center, así como de las comunicaciones que ésta realice con terceros.
Corresponde a éste departamento mantener informadas a las Autoridades de Sistem Contact Center y al
resto de los usuarios de los avances tecnológicos que se vayan produciendo en el área de Sistemas
(hardware, software, material de informática, etc.). Haciendo efecto de las responsabilidades antes
descritas, se establecerá una normativa reguladora de los servicios de comunicación informática dentro de
las instalaciones físicas de Sistem Contact - Center, y de las que ésta realice con terceros.
Dicha normativa deberá referirse en todo caso a:

a) La definición del servicio o servicios prestados.
b) El nivel de prestación.
c) Los derechos y deberes de los usuarios
d) Las garantías técnicas y jurídicas del servicio.
Las normas generales de Seguridad Informática, de Sistem Contact - Center, podrán condicionar el acceso
a prestaciones de la red en función de los niveles de compatibilidad y seguridad que se establezcan

Versión 2.0
6.1.2 PERFIL GESTOR DE SEGURIDAD
Corresponde al Gestor de Seguridad, gestionar ante la gerencia y la unidad de Sistemas, una correcta
aplicabilidad de las normas y políticas establecidas para salvaguardar los activos de información de la
Empresa, así como de establecer los parámetros necesarios para el mantenimiento adecuado del Sistema
de Gestión de Seguridad de la Información, desarrollando una serie de medidas estratégicas que propicien
un alto nivel de seguridad en la infraestructura tecnológica de Sistem Contact - Center, aceptable para los
fines y objetivos empresariales. El Gestor de Seguridad, podrá constituir en el momento que crea
conveniente, comisiones técnicas de apoyo y asesoramiento, formadas por expertos en el área de
seguridad informática; dichas comisiones serán siempre temporales
OBJETIVOS QUE DEBE CUMPLIR
 Definir la misión de seguridad informática de la Empresa en conjunto con la gerencia.
 Aplicar una metodología de análisis de riesgo para evaluar la seguridad informática en la Empresa
 Definir la política de seguridad informática de la Empresa
 Definir los procedimientos para aplicar la Política de seguridad informática.
 Seleccionar los mecanismos y herramientas adecuados que permitan aplicar las políticas dentro de
la misión establecida
 Crear un grupo de respuesta a incidentes de seguridad, para atender los problemas relacionados a
la seguridad informática dentro de la Empresa
 Promover la aplicación de auditorías enfocadas a la seguridad, para evaluar las prácticas de

seguridad informática dentro de la Empresa.
 Crear y vigilar los lineamientos necesarios que coadyuven a tener los servicios de seguridad en la
Empresa

Versión 2.0
 Crear un comité de seguridad informática en la empresa
FORMACION PROFESIONAL
Licenciatura o Ingeniería en el área de Sistemas.

Conocimientos
Conocimientos y Experiencia mínima Conocimientos y Experiencias Deseables
Sistemas Operativos (Windows, Linux) Sistemas operativos (Windows, Linux)
Pilas de TC/IP Protocolos de seguridad (IPSec)
Protocolos de comunicación (RPC, TCP, UDP) Herramientas de Seguridad(Scanner, Firewalls,
IDS)
Lenguajes de Programación Programación de Protocolos (TCP, UDP)

Conocimientos de Redes Conocimientos Criptográficos
Mecanismos de Seguridad (Firmas digitales,
Certificados, Claves)
HABILIDADES PERSONALES
 Atención focalizada, que se mantenga por largos periodos de tiempo.
 Concentración de la atención.
 Pensamiento, capacidad de reflexión, de análisis y de síntesis.
 Habilidad para pensar creativamente.
 Habilidad para la toma de decisiones.
 Pensamiento flexible.
 Habilidad para organizar información en la memoria de corto y de largo plazo

Versión 2.0
 Habilidad para expresar claramente sus ideas.
 Habilidad para comunicarse con personas no expertas y expertas en el área.
 Habilidad para el trabajo independiente y autónomo.
 Habilidad para relacionarse con otros y para pedir ayuda cuando sea necesario
 Habilidad para trabajar en equipos reales y virtuales.
 Habilidad para prever y solucionar conflictos.
 Persona con conocimientos de experto en el área de informática.
 Establecimiento de prioridades y toma de decisiones.
 Habilidad para organizar el trabajo y las decisiones.
 Planeación, Empresa y comunicación.
 Iniciativa.
 Capacidad para detectar, aislar y resolver problemas
DEBERES Y RESPONSABILIDADES
 El Gestor de Seguridad tiene como principal responsabilidad la administración y coordinación

diaria del proceso de Seguridad Informática de la Empresa.
 Tiene como responsabilidad asegurar el buen funcionamiento del proceso de seguridad

Informática de la Empresa.

Versión 2.0
 Debe ser el punto de referencia para todos los procesos de seguridad y ser capaz de guiar y
aconsejar a los usuarios de la Empresa sobre cómo desarrollar procedimientos para la protección
de los recursos.
 Una tarea clave para el Gestor de Seguridad, es guiar al cuerpo directivo y a la administración de
la Empresa ante incidentes de seguridad mediante un Plan de Respuesta a Incidentes, con el fin de
atender rápidamente este tipo de eventualidades
 El Gestor de Seguridad, es responsable de proponer y coordinar la realización de un análisis de

riesgos formal en seguridad de la información que abarque toda la Empresa.
 Es deber del Gestor de Seguridad, el desarrollo de procedimientos de seguridad detallados que

fortalezcan la política de seguridad informática Empresarial.
 El Gestor de Seguridad, debe ser miembro activo del comité de seguridad, y mantener contacto
con los Gestores de Seguridad de otras organizaciones, estar suscrito a listas de discusión y de
avisos de seguridad.
 Es responsabilidad del Gestor de Seguridad, promover la creación y actualización de las políticas

de seguridad informática, debido al comportamiento cambiante de la tecnología que trae consigo
nuevos riesgos y amenazas.
 Es responsabilidad del Gestor de Seguridad el desarrollo de un Plan de Seguridad de la

Información.
 El Gestor de Seguridad debe atender y responder inmediatamente las notificaciones de sospecha

de un incidente de seguridad o de incidentes reales.
 El Gestor de Seguridad debe establecer la misión y metas internas en cuanto a la seguridad de la

información, de acuerdo a la misión y metas organizacionales.

Versión 2.0
 El Gestor de Seguridad será responsable de mantener relaciones interpersonales, con otros

oficiales de seguridad, con el objetivo de ampliar sus conocimientos y aplicar soluciones a
problemas de seguridad del entorno Empresarial
 Es responsable de mantenerse al día de las actualizaciones y nuevas vulnerabilidades encontradas

en el software de la Empresa.
 Éste a su vez, coordinará con los responsables de los activos de los diferentes departamentos de la
Empresa, brindando los medios necesarios para asegurar la disponibilidad, integridad y
confidencialidad de la información, previamente clasificada por los responsables De los activos
RESPONSABLE DE LOS ACTIVOS
Corresponde a los responsables de los activos, mantener un adecuado control sobre los recursos asignados
a su departamento u oficina, clasificar cada activo según la importancia que éste tenga para los procesos
desarrollados dentro del departamento o área que tenga bajo su administración o cargo. Coordinar sus
esfuerzos con el Gestor de Seguridad, brindando la información necesaria y relevante, con el objetivo de
lograr mantener una mejor y más adecuada administración de los recursos y la Red Empresarial

Versión 2.0

Manual de Politicas y Normas de Seguridad Informatica Sistem Contact - Center

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual de Politicas y Normas de Seguridad Informatica Sistem Contact - Center

Cargado por

Copyright:

Formatos disponibles

MANUAL DE POLITICAS Y NORMAS DE SEGURIDAD INFORMATICA

SISTEM CONTACT - CENTER

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

1. Nivel de Seguridad Organizativo:

2. Nivel de Seguridad Red legal

3. Nivel de Seguridad Física y Lógica

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

La seguridad, en lo que se refiere a una infraestructura de información, es un concepto relacionado

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

 Elaborar un manual de políticas de seguridad informática para el personal de Sistem Contact –

 Utilizar un lenguaje claro de establecimiento de políticas y estándares de seguridad para la fácil

 Establecer niveles de seguridad en base al esquema normativo de Seguridad del Instituto

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

El ámbito de aplicación del manual de normas y políticas de seguridad informática, es la infraestructura

En ente que garantizará la ejecución y puesta en marcha de la normatividad y políticas de seguridad, es un

Amenaza: Es un evento que puede desencadenar un incidente en la organización, produciendo daños

Confidencialidad: Proteger la información de su revelación no autorizada. Esto significa que la

Cuenta: Mecanismo de identificación de un usuario, llámese de otra manera, al método de acreditación o

Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la

Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo, en un Dominio o en toda

Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

Art. 2. Sistem Contact - Center nombrará un comité de seguridad, que de seguimiento al

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

Art. 3. El administrador de cada unidad organizativa dentro de la red empresarial es el único

1.2 EXCEPCIONES DE RESPONSABILIDAD

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

1.3. CLASIFICACIÓN Y CONTROL DE ACTIVOS

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

1.4. SEGURIDAD LIGADA AL PERSONAL

Art. 1. La información procesada, manipulada o almacenada por el empleado es propiedad exclusiva de

1.5. RESPUESTAS A INCIDENTES Y ANOMALÍAS DE SEGURIDAD:

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

Art. 2. Cualquier petición de información, servicio o acción proveniente de un determinado usuario o

3.2 ADMINISTRACIÓN DEL ACCESO DE USUARIOS

Art. 1. Son usuarios de la red el personal, administrativos, secretarias, Asesores, Supervisores,

Art. 9. La longitud máxima de caracteres permisibles en una contraseña se establece en 12 caracteres,

RESPONSABILIDADES DEL USUARIO

Art. 1. El usuario es responsable exclusivo de mantener a salvo su contraseña.

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

Art. 4. El usuario es responsable de eliminar cualquier rastro de documentos proporcionados por el

NORMATIVA DEL USO DE CORREO ELECTRÓNICO:

USO ACEPTABLES DE LOS SERVICIOS DE INTERNET.

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

e. No podrá Coleccionar, almacenar, divulgar, transmitir o solicitar cualquier material, información,

f. No podrá coleccionar, almacenar, divulgar, transmitir, o solicitar información personal a niños

g. No podrá coleccionar, divulgar, transmitir o solicitar programas de computación dañinos, virus,

h. Falsificar información del Usuario;

j. Enviar correo electrónico solicitando donaciones caritativas, peticiones de firmas o cualquier

o. Transmitir correo electrónico en forma anónima, retransmitir correo electrónico a servidores de

q. Personificar o intentar personificar a otra persona a través de la utilización de encabezados

v. Involucrarse en cualquiera de las actividades mencionadas utilizando los servicios de otros

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

Trasladar materiales, informaciones, mensajes o comunicaciones que, a la sola discreción de

3.3 CONTROL DE ACCESO A LA RED

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

3.3 CONTROL DE ACCESO A LAS APLICACIONES

3.4 CONTROL DE ACCESO AL SISTEMA OPERATIVO

Elaborado por el Departamento Tecnología y Fecha: Julio 2012

3.5 MONITOREO DEL ACCESO Y USO DEL SISTEMA

3.6 RESPONSABILIDADES Y PROCEDIMIENTOS OPERATIVOS