PROCEDIMIENTO Código SAS-TI-P-01

Versión 01
SEGURIDAD EN SISTEMAS Fecha 01-04-2012
Pagina 1 de 11

1. OBJETIVO

Establecer el procedimiento para asegurar los controles de la seguridad en lo que

respecta a sistemas (software y hardware).

2. ALCANCE

Se aplica a todos los sistemas informáticos de ORELIA GROUP.

3. RESPONSABILIDADES

 Asistente administrativo: Responsable de la ejecución y seguimiento para la

correcta aplicación del presente procedimiento.
 Gerente General: Responsable de la aprobación del presente procedimiento.

4. DEFINICIONES

 Internet: Red de redes mundial. Telaraña o entramado mundial. También

llamada World Wide Web (WWW), conjunto de redes que permiten la
comunicación de millones de usuarios de todo el mundo.

 Password: Clave secreta personal.

 USB (Universal Serial Bus): Conector de dispositivos externos que hace de

vía de ampliación de los nuevos ordenadores.
 Firewall: Programa que protege a una red de otra red.

 Hardware: Componentes físicos de una computadora o de una red (a

diferencia de los programas o elementos lógicos que los hacen funcionar).

 Software: Se refiere a programas en general, aplicaciones, juegos, sistemas

operativos, utilitarios, antivirus, etc. Lo que se pueda ejecutar en la
computadora.

 Virus: Programa que se duplica a sí mismo en un sistema informático

incorporándose a otros programas que son utilizados por varios sistemas.

 Antivirus: Programa cuya finalidad es prevenir los virus informáticos así como
curar los ya existentes en un sistema. Estos programas deben actualizarse
periódicamente.

Prohibido imprimir, fotocopiar o reproducir este Documento

 PROCEDIMIENTO Código SAS-TI-P-01
Versión 01
SEGURIDAD EN SISTEMAS Fecha 01-04-2012
Pagina 2 de 11

 Backups: Copia de Respaldo o Seguridad. Acción de copiar archivos o datos

de forma que estén disponibles en caso de que un fallo produzca la pérdida de
los originales. Esta sencilla acción evita numerosos, y a veces irremediables,
problemas si se realiza de forma habitual y periódica.

 Computadora: Dispositivo electrónico capaz de procesar información y

ejecutar instrucciones de los programas. Una computadora es capaz de
interpretar y ejecutar comandos programados para entrada, salida, cómputo y
operaciones lógicas.

5. DESCRIPCIÓN

1.1. Inventario y Adquisiciones

1.1.1. Inventario
 Con el propósito de identificar la infraestructura informática
instalada en la empresa, el área de Sistemas en colaboración con el
área de Administración se responsabiliza de la actualización del
inventario de los bienes informáticos.

 Si se trata de equipos a dar de alta o adquirir el área de

administración indicará al área de sistemas el día que se
recepcionará los equipos para ser configurados y entregados con
cargo a los usuarios respectivos, registrándolo en el formato
“Asignación de equipo de computo: SAS-TEI-F-01”, realizando
la ficha técnica según formato “Ficha Técnica: SAS-TI-P-02” y la
codificación del equipo que lo realizan pegando un sticker.

1.1.2. Asignación e instalación

 Únicamente el área de sistemas está autorizado para realizar la
instalación de cualquier tipo de software en los equipos propiedad
de la empresa.
 Queda estrictamente prohibido a los usuarios instalar cualquier
software ajeno al autorizado
 Queda estrictamente prohibido a los usuarios instalar juegos y
aplicaciones (Freeware) en el equipo de cómputo.
 Todo software que no cumpla con la política establecida será
borrado del equipo en que se encuentre., reportándolo al área de
Recursos Humanos para que realicen la amonestación al usuario.

1.2. Autorización de medios

 Los medios de computo que se definen son:
 Disquetera
 Lectora de CD

Prohibido imprimir, fotocopiar o reproducir este Documento

 PROCEDIMIENTO Código SAS-TI-P-01
Versión 01
SEGURIDAD EN SISTEMAS Fecha 01-04-2012
Pagina 3 de 11

 Quemadora de CD
 Lectora de DVD
 Quemadora de DVD
 Puerto de USB
 Cámara Web
 Auriculares

 La Gerencia General es el que autoriza al área de Sistemas el acceso de

algún medio de cómputo para el usuario a su cargo mediante correo
electrónico.

 El Área de Sistema tiene automatizado el control de la autorización de

medios del equipo en el sistema teniendo de esta forma la seguridad en
los medios previniendo fuga de información o contaminación (virus).

 La información contenida sobre la autorización de medios del equipo es :

 Origen
 Apellido y nombre del usuario
 Área de donde trabaja el usuario
 El tipo de PC referido a:
 Estación: es una PC
 Servidor: es un servidor
 Laptop: es un laptop

 El Jefe de sistema describe los medios con los que cuenta el equipo de
computo (PC):

CD/DVD
Lectora CD CD
Quemadora CD CDRW
Lectora DVD DVD
Lectora DVD + Quemadora CD DVD+CDRW
Quemadora DVD DVDRW
No existe No tiene

FLOPPY
Disquetera Tiene disquetera
No existe No tiene

USB
USB Tiene puerto USB
No existe No tiene

Prohibido imprimir, fotocopiar o reproducir este Documento

 PROCEDIMIENTO Código SAS-TI-P-01
Versión 01
SEGURIDAD EN SISTEMAS Fecha 01-04-2012
Pagina 4 de 11

 El Jefe de Sistemas en los campos de CD/DVD, floppy y USB, registra el

estado de los medios que se refiere a la autorización al usuario de uso o
no de dicho medio:
 Desactivado: Se desautoriza el uso del medio y se retira el
medio
 ?: Aún no se ha tomado decisión sobre la permanencia o retiro
del medio
 Activado: Se autoriza al usuario mantener el medio.

1.3. Acceso al ambiente de Sistemas y de los servidores

 Sólo personal de Sistemas puede ingresar al área de Sistemas. Las

personas que deseen comunicarse con ellos deben hacerlo por anexo o
radio o enviar un email.

1.4. Acceso a la red de computo y aplicaciones

 Para que los trabajadores puedan acceder a la red, cuentan con un
usuario y password creado por el Área de Sistemas.
 Mientras el usuario no se autentique con un usuario y password valido el
equipo no permitirá la utilización del mismo.
 Las aplicaciones son accedidas también con un usuario y password, la
cual es registrada y administrada en las tablas o Base de Datos de los
Sistemas.
 El password tiene una longitud mínima de 8 caracteres y es definido por el
usuario.
 El password debe contener números y caracteres.
 El password tiene una duración de 6 meses. Luego de este tiempo el
sistema le pedirá que el password sea cambiado.

 El password no puede ser repetido, si el usuario incurre en la falta, el área

de sistemas lo reporta al área de Recursos Humanos para que lo
amoneste o sancione.

1.5. Protectores de pantalla

 Como protector de pantalla se utiliza el nombre de la empresa protegido

de un password.
 Por seguridad, los password son actualizados por lo menos dos veces al
año, realizando aleatoriamente una revisión a los PC y lo registran y
envían su informe mediante mail.
 Por seguridad los usuarios no pueden cambiar el protector de pantalla ni el
tiempo de activación del mismo.

Prohibido imprimir, fotocopiar o reproducir este Documento

 PROCEDIMIENTO Código SAS-TI-P-01
Versión 01
SEGURIDAD EN SISTEMAS Fecha 01-04-2012
Pagina 5 de 11

1.6. Programa de antivirus.

 Todas las computadoras cuentan con un programa antivirus instalado.

 El Área de sistemas para revisar que el antivirus esté operando bien,

realiza aleatoriamente una revisión a los PC mensual y lo registra
mediante mail reportándolo a la Jefatura de Sistemas, adicionalmente el
servidor de antivirus ubicado en la sala de servidores emite unos mensajes
que llegan a nuestra cuenta, indicando que ha encontrado una nueva
actualización en internet y que cumplió con la debida actualización.
 Los equipos que resultan infectados con virus, son inmediatamente
reinstalados para evitar mayores infecciones ó pérdida de información

1.7. Ejecución y Control de Backups

 Es responsabilidad del usuario contar con respaldo de la información que
maneja en sus actividades diarias, eso incluye la información grabada tanto en
su disco como en el “Servidor de Archivos” que contiene carpetas individuales
para cada uno de los usuarios graben la información que consideran
importante resguardar. El área de Sistemas guarda una copia de respaldo
mensual fuera de la empresa y lo entrega a los Jefes de las otras empresas
del grupo para que queden a buen recaudo, con cargo mediante el formato
“Registro de Backups: SAS-TI-F-03”.

 El Área de Sistemas verifica los backup internos aleatoriamente

mensualmente y lo reporta mediante mail a la Jefatura de Sistemas y al
área de Recursos Humanos, en el que detallan que usuario no está
realizando sus backups (si existe) para que le apliquen la amonestación o
sanción.

 El Área de Sistemas genera backup de todo a fin de año una dentro de la

red y otro fuera.

 El Área de Sistemas revisa que exista la información en los backups

realizando pruebas de levantamiento de información de esta manera
evitamos que se pierda la información.

1.8. Soporte técnico

 El jefe de sistemas es el encargado de realizar el soporte técnico a los
usuarios de la empresa.

Prohibido imprimir, fotocopiar o reproducir este Documento

 PROCEDIMIENTO Código SAS-TI-P-01
Versión 01
SEGURIDAD EN SISTEMAS Fecha 01-04-2012
Pagina 6 de 11

 El Usuario llama vía teléfono o radio al jefe de sistemas y explica su

requerimiento.

 El jefe de sistemas registra la ocurrencia en el formato “Informe de

Mantenimiento Preventivo y Correctivo de Equipos y Sistemas: SAS-
TI-F-05”.

 Solucionado el problema, el jefe de sistemas registra la solución “Informe

de Mantenimiento Preventivo y Correctivo de Equipos y Sistemas:
SAS-TI-F-05”.

1.9. Mantenimiento de Hardware y Software

 No se autorizará la contratación de mantenimiento preventivo o correctivo
de bienes que no sean de la institución, así como no se dará servicio
correctivo o preventivo a bienes que no estén inventariados por el área de
sistemas.

 Todos los equipos cuentan con un periodo de garantía señalado por el

fabricante, durante el cual se deben hacer las reclamaciones al proveedor
en caso de fallas.

 La limpieza interna del equipo y sus componentes deberán ser realizadas

únicamente por el personal del área de soporte técnico. Éste se realiza de
acuerdo a lo que el Área de sistemas estipule.

 El Área de Sistemas es el responsable de coordinar el mantenimiento de

los equipos según la “Programación de Mantenimiento Preventivo de
Equipos y Sistemas: SAS-TI-F-04”.

 Luego de cada mantenimiento se coloca a los CPU, un precinto con la

fecha en que se ha cerrado y se registra en el formato “Informe de
Mantenimiento Preventivo y Correctivo de Equipos y Sistemas: SAS-
TI-F-05”.

 Este precinto es para garantizar que el equipo no sea abierto sin

percatarnos.

1.10. Control de precintos

 Todo CPU debe tener un precinto de seguridad el cual debe contener el
nro., la fecha y descrita la advertencia: “La ruptura de este sello
evidencia su violación”.

Prohibido imprimir, fotocopiar o reproducir este Documento

 PROCEDIMIENTO Código SAS-TI-P-01
Versión 01
SEGURIDAD EN SISTEMAS Fecha 01-04-2012
Pagina 7 de 11

 La asignación del precinto de seguridad en el equipo de cómputo debe ser

en forma aleatoria.

 Se debe registrar en un formato "Control de Precintos: SAS-TI-F-06 ", el

detalle del ingreso, salida y saldo.

 Para la verificación de lo registrado en el saldo con el físico se efectuará

un inventario mensual para detectar cualquier incidencia en el saldo y
poder corregirlo.

 Cualquier ingreso de equipo de computo nuevo debe ser precintado

inmediatamente y cuando realicen el mantenimiento de los equipos.

1.11. Control de ingreso y salida de correos electrónicos

 Las cuentas de correo son solicitadas por las Gerencia General.

 El Área de Sistemas tiene 24 horas para crear la cuenta de correos, luego

de la aprobación del Gerente.
 El Área de Sistemas instala y configura la cuenta en el usuario que
trabajará con la cuenta de correo.

 Existe el control de seguridad para evitar el envío o recepción de correos

mayores a 4MB.

 Los usuarios de correo tiene la posibilidad de poner bloques de correos no

deseados y también en el servidor están filtrados algunos servidores spam
y palabras o frases no deseadas para reducir el impacto de estos en las
comunicaciones.

 El Área de sistemas tiene el Registro de control de correos electrónicos de

los usuarios autorizados automatizado.

1.12. Acceso y uso de internet

 Entre los usuarios de la red que usan Internet tenemos configurados los
siguientes tipos de salida:
 Libre
 Restringido
 Sin Acceso

 El Listado de usuarios con su respectivo tipo de salida a Internet se

registra mediante el Menú de Sistemas de nuestra intranet.

Prohibido imprimir, fotocopiar o reproducir este Documento

 PROCEDIMIENTO Código SAS-TI-P-01
Versión 01
SEGURIDAD EN SISTEMAS Fecha 01-04-2012
Pagina 8 de 11

 Si un usuario requiere salida a Internet, debe enviar un mail a su Gerente y

este solicitarlo al Área de Sistemas sustentando la razón para la cual
necesita la salida a Internet y el tipo de salida que necesita.

 El Área de Sistemas tiene un plazo máximo de 24 horas hábiles para

configurar este requerimiento.

1.13. Licencias de software.

 Es responsabilidad del área de Sistema el control de las licencias de
software, la documentación que acredite a la empresa como usuario legal
del software, así como asegurarse de contar con el número de licencias
requeridas. Además de evitar y prohibir el uso de programas sin licencia
por parte del propietario mismo.

 Tanto los medios de distribución del software original (discos), las licencias
que acreditan a la empresa como usuario legal, así como los manuales
asociados quedarán bajo custodia del área de Sistemas.

1.14. Como actuar ante una vulnerabilidad

1.14.1. Seguridad de datos:
 El Área de Sistemas es la única autorizada de proveer y cambiar
las claves según sea necesario.

1.14.2. Daño físico o robo

 En caso de daño físico o pérdida por robo, el responsable del
equipo debe reportarlo inmediatamente a su Jefe inmediato y al
Área de Sistemas, para seguir con los procedimientos
correspondientes.

1.14.3. Recuperación de datos

 En caso de falla o error en algún equipo, sistema o medio de
almacenamiento, se utilizará el respaldo de información a fin de
restablecer el sistema a su estado original.

1.14.4. Virus
 Los virus son programas o instrucciones en los disquetes o medios
de almacenamiento de los equipos de cómputo; estos programas
tienen el objeto de alterar el funcionamiento de un sistema
intencionalmente, sus efectos van desde la alteración de la
información, destruirla o modificarla, el virus es transmisible entre
equipos a través de la red (Internet) disquetes, Discos, dispositivos
de almacenamiento etc.

Prohibido imprimir, fotocopiar o reproducir este Documento

 PROCEDIMIENTO Código SAS-TI-P-01
Versión 01
SEGURIDAD EN SISTEMAS Fecha 01-04-2012
Pagina 9 de 11

 Es responsabilidad del usuario asegurarse que la información

recibida a través de red o mails no contenga virus.

 Si algún usuario detecta virus en el equipo asignado, debe

reportarlo al Área de Sistemas para que se tomen las medidas
preventivas y correctivas según sea el caso.

1.14.5. Para prevenir la infección de virus

 No utilizar software ilegal dentro de los equipos. Verificar los
archivos con el software antivirus instalado para tal fin, recordando
que éstos pueden ser más nuevos que el antivirus y pasar
desapercibidos.

1.14.6. Responsabilidades
 Es responsabilidad del usuario contar con respaldo de la
información que maneja en sus actividades diarias, eso incluye la
información grabada tanto en su disco como en el espacio
particular otorgado en el Servidor de Archivos.

 No es responsabilidad del Área de Sistemas el contar con

respaldos de información personal de los usuarios.

 Si es necesario copiar, por ser información personal, el usuario

debe proporcionar algún medio de almacenamiento para dicho fin

1.15. Retiro o cese de un trabajador o usuario

 Cuando un trabajador o usuario se separa de la empresa, el Área de
Sistemas realiza unos días antes lo siguiente:
 Realiza un backup de la PC (todo lo que contenga)
 Realiza un backup de su correo electrónico
 Monitorea de que no altere ni borre información hasta el día de su
retiro, teniendo todo en backups
 Restringe el nivel acceso a internet y módulos o programas operativos.
 Verifica la información almacenada por el usuario y depurar del medio
de almacenamiento de la misma, así mismo los otros equipos que
cuenten con información del mismo usuario,

1.16. Incidencias.
 Toda incidencia que detecte el área de Sistemas que lo halla cometido el
usuario o trabajador lo reporta mediante mail a la Gerencia General y al
Área de Recursos Humanos para que tomen las medidas correctivas
como:

Prohibido imprimir, fotocopiar o reproducir este Documento

 PROCEDIMIENTO Código SAS-TI-P-01
Versión 01
SEGURIDAD EN SISTEMAS Fecha 01-04-2012
Pagina 10 de 11

 Sanciones mediante memorándum de llamada de atención hasta con

suspensión de labores
 Denunciarlo penalmente
 Retirarlo de la empresa

 Las incidencias que se pueden encontrar que comete el usuario son:

 Robo de información
 Acceso a un nivel de usuario que no le corresponde tanto en internet
como en los módulos de operaciones
 Haber accedido a la red con password que no le corresponde
 No haber realizado el respaldo de la información que maneja en sus
actividades diarias, eso incluye la información grabada tanto en su
disco como en el espacio particular otorgado en el sistema de red
 Alterar o borrar información
 Malogro intencionalmente de equipos, software y programas o
módulos operativos de la empresa.
 Bajar por internet software o páginas pornográficas
 Chatear
 Configurar software
 No reportar que tiene dificultades con su equipo de computo
 Violar la PC para incorporar un medio de cómputo o para sustraerlo o
cambiar.
 El que revele o difunda los datos contenidos en un sistema de
información
 El que maliciosamente destruya o inutilice un sistema de tratamiento
de información o sus partes o componentes, o impida, obstaculice o
modifique su funcionamiento.
 Falsificación de documentos vía computarizada
 Introducción de instrucciones que provocan «interrupciones en la
lógica interna de los programas

1.17. Capacitaciones.
 El Área de sistemas mínimo una vez al año realiza una capacitación a
todos los usuarios trabajadores sobre la aplicación de los controles de
seguridad en sistemas.

 El Área de sistemas también realiza inducción al usuario o trabajador

cuando ingresa a laborar sobre el manejo de los controles de seguridad
que tiene el área de sistemas para proteger la información como también
del manejo de algún programa o modulo.

Prohibido imprimir, fotocopiar o reproducir este Documento

 PROCEDIMIENTO Código SAS-TI-P-01
Versión 01
SEGURIDAD EN SISTEMAS Fecha 01-04-2012
Pagina 11 de 11

6. REGISTROS

 Asignación de Equipo de Computo: SAS-TEI-F-01

 Ficha Técnica: SAS-TI-F-02
 Registro de Backups: SAS-TI-F-03
 Programa de Mantenimiento Preventivo de Equipos y Sistemas: SAS-TI-F-04
 Informe de Mantenimiento Preventivo y Correctivo de Equipos y Sistemas:
SAS-TI-F-05
 Control de Precintos para Equipos Informáticos: SAS-TI-F-06

Nombre Cargo Firma Fecha

Daniel Mines
Elaborado por: Lumbre
Jefe del Proceso

Hedith Lavarello Gerente

Revisado por: Villacrez Administrativo

Humberto Travaglini
Aprobado por: Bernales
Gerente General

Prohibido imprimir, fotocopiar o reproducir este Documento