Política de uso de datos y TI

Document Number: IT-GL-GRP-POL-001 Approval Date: 18 November 2021

Version Number: 6 Superseded: 29 January 2020

Policy owner: Chief Information Officer Approved by: ALS Management

alsglobal.com
Contents
Introducción ................................................................................................................................................................................ 1

Cumplimiento con la Política ..................................................................................................................................................... 1

En caso de Incumplimiento........................................................................................................................................................ 1

Relación con otras Políticas........................................................................................................................................................ 1

1. Confidencialidad................................................................................................................................................................ 2

2. Privacidad ........................................................................................................................................................................... 2

3. Uso de los bienes de la Empresa ..................................................................................................................................... 2

4. Asignación de Nombre de Usuario y Contraseña .......................................................................................................... 3

5. Acceso a la red y al sistema .............................................................................................................................................. 4

6. Uso del correo electrónico y de los servicios de internet .............................................................................................. 4

7. Hardware y software estándar .......................................................................................................................................... 5

8. Acceso Remoto .................................................................................................................................................................. 5

9. Mejoras a los Procesos del Negocio ................................................................................................................................ 5

IT-GL-GRP-POL-001 – Versión 6 – Fecha de Revisión 18/11/2021 alsglobal.com

Introducción
ALS Limited y sus empresas subsidiarias (la Empresa) se comprometen a proteger sus sistemas de información,
comunicación y tecnología (ICT) y los procesos de negocios relacionados. El mantener la confidencialidad, integridad
y disponibilidad de la información es crítico para el continuo crecimiento y éxito de la empresa.

El propósito de este documento es definir las políticas y lineamientos que deben aplicarse para lograr el nivel deseado
de seguridad y disponibilidad de la información. Estas políticas existen para garantizar que todos los entornos ICT
dentro de la Empresa estén protegidos y controlados de acuerdo a la Política y Marco de Gestión de Riesgo de la
Empresa, al mismo tiempo que permitan el acceso requerido a las instalaciones esenciales para llevar a cabo los
negocios diarios de la misma.

La tecnología de la información se utiliza para apoyar con nuestros procesos del negocio. Es importante que la
inversión en tecnología y los controles seleccionados para protegerla reflejen el valor de dichos procesos. En este
sentido, las unidades de negocios individuales deben tener presente los riesgos que afectan sus actividades y
garantizar que se adopten los controles adecuados basados en los lineamientos contenidos en este documento.

Esta política se basa en el Estándar Internacional para la Gestión de Seguridad de la información ISO/IEC 27001.

Cumplimiento con la Política

Se recuerda a los empleados que todos, a todo nivel de la Empresa, son responsables de la gestión de seguridad de
los recursos de ICT.

Cualquier persona que conozca o sospeche de la inobservancia de esta política debe denunciar los hechos
inmediatamente a su supervisor, gerente de la unidad de negocios o al Gerente de Riesgo y Cumplimiento del Grupo
(Group Compliance & Risk Manager). Se recuerda a los empleados que la empresa tiene implementado un programa
confidencial de denuncia de irregularidades (Política de Informantes), con la Línea Directa de Integridad de ALS. Dicho
programa está administrado por una organización externa y todas las llamadas a la Línea de Directa de Integridad son
tratadas de forma confidencial.

Las obligaciones detalladas en esta Política uso de datos y TI se deben leer en conjunto con otras políticas de ALS
aplicables a todos los empleados de ALS.

En caso de Incumplimiento
El incumplimiento de esta política puede dar como resultado pérdidas a la Empresa o dejarla expuesta a un nivel de
riesgo inaceptable. Se podrían imponer sanciones disciplinarias a aquellos empleados que contribuyan a dicho
incumplimiento, de acuerdo a los términos y condiciones de empleo.

De tanto en tanto, es posible que surjan circunstancias del negocio que lleven al incumplimiento de la política. Cuando
se determine que un proceso o acción del negocio pueda transgredir esta política, se podría dar una excepción de
acuerdo a los procesos siguientes:

• Documentar la naturaleza de la transgresión esperada y la evaluación del impacto sobre el negocio;

• Enviar el documento al gerente de la unidad de negocio o al propietario del sistema para la aceptación
del riesgo;
• Elevar el documento y la aceptación al Funcionario de Información para su aprobación previo a tomar
acción alguna.

Debe tener en cuenta que el asesoramiento técnico debe obtenerse del grupo de soporte de IT correspondiente. Se
espera que la excepción sea autorizada sólo por un período limitado de tiempo.

Relación con otras Políticas

Los elementos clave de esta política se incluyen en el Código de Conducta, el cuál los empleados deben leer y aceptar
cuando se unen a la Organización.

Todas las actualizaciones a esta y otras políticas de la Empresa se pondrán a disposición en línea a través de ALSNET.

IT-GL-GRP-POL-001 – Versión 6 – Fecha de Revisión 18/11/2021 alsglobal.com  1

1. Confidencialidad
1.1 Todos los empleados deben firmar una declaración de confidencialidad como una de las condiciones de
empleo. Aún cuando este documento no se redacte y firme específica y separadamente, las condiciones
permanecen en vigencia para todos los empleados. También forma parte de las condiciones de contratación
y de la ética institucional de la Empresa.

1.2 La información que debe tratarse como confidencial comprende, pero no se limita, a lo siguiente:

• Procesos y Datos informáticos y del negocio;

• Formulaciones de productos y técnicas de fabricación;
• Técnicas analíticas y Métodos de Prueba de la Empresa;
• Resultados e Información de los Clientes;
• Información financiera sobre la Empresa y los Clientes (que no sean aún de dominio público);
• Estrategias y datos de marketing;
• Estrategias de investigación y desarrollo de nuevos productos; y
• Adquisiciones potenciales o iniciativas empresariales estratégicas.

1.3 La información confidencial solo puede revelarse a empleados autorizados durante el curso de las tareas de
trabajo, cuando lo exija la ley o con autorización previa. Los empleados deben hacer todo lo posible para
asegurar que la información confidencial en cualquier forma (por ejemplo documentos, archivos
electrónicos) no quede accesible a personas no autorizadas. No debe conversarse sobre información
confidencial excepto durante el curso de tareas de trabajo y no debe utilizarse para logar ventaja personal.

1.4 Aquellos empleados que divulguen información confidencial sin estar autorizados estarán sujetos a acciones
disciplinarias, incluso la terminación del contrato laboral.

2. Privacidad
2.1 Las leyes sobre privacidad afectan la forma en que las organizaciones recogen, gestionan, usan y revelan
información sensible y personal de los individuos. Todos los empleados asegurarse de no poner en riesgo
la privacidad de terceros.

2.2 La información sobre los empleados de la Empresa se encuentra sujeta a la Política de Privacidad y
lineamientos de la Empresa. Los empleados también deben tener en cuenta que las leyes sobre privacidad
difieren en los distintos países. Si tiene dudas sobre cuáles son las exigencias de tratamiento de información
personal, contacte al Funcionario de Privacidad de la Empresa.

2.3 En ciertas instancias se entregará información relacionada a un empleado a organismos externos (tales como
empresas de jubilación privada y autoridades impositivas gubernamentales) y la Empresa confirmará
detalles guardados por instituciones financieras en caso de que el empleado haya solicitado un préstamo o
cuerpo.

3. Uso de los bienes de la Empresa

3.1 Las computadoras, teléfonos y toda la tecnología relacionada se deben usar en forma legal, ética y
responsable. Dentro de los usos inaceptables se encuentran la violación a los derechos ajenos y de los
derechos de autor y de propiedad intelectual, actividades ilegales o apuestas, uso para acosar, amenazar o
actos discriminatorios y el almacenamiento y transmisión de material inapropiado u objetable.

3.2 Todos los recursos de la Empresa se deben utilizar de manera efectiva y económica en asuntos relacionados
con el trabajo y de acuerdo con el Código de Conducta. El uso del patrimonio de la Empresa para
actividades no laborales debe limitarse según las políticas correspondientes (por ejemplo el uso de los
vehículos, teléfonos, acceso a la computadora). Variaciones pertinentes a la política de la Empresa requieren
autorización del Gerente correspondiente.

3.3 Las computadoras se deben instalar en una posición que sea accesible para el usuario y de acuerdo con las
prácticas laborales seguras y ergonómicas. Esto significa proteger del polvo, líquidos, productos químicos,
interferencia eléctrica o de cualquier otra condición que pueda perjudicar o afectar su funcionamiento.

IT-GL-GRP-POL-001 – Versión 6 – Fecha de Revisión 18/11/2021 alsglobal.com  2

3.4 El patrimonio de la Empresa se debe mantener en condiciones de funcionamiento seguras en todo
momento.

4. Asignación de Nombre de Usuario y Contraseña

4.1 Cuando un empleado solicita acceder a los servicios de ICT, el encargado o el oficial local de RRHH
organizará la creación de un nombre de usuario y acceso a los sistemas nominado:

• Primer nombre preferido;

• Apellido;
• Puesto de trabajo;
• Nombre del jefe;
• División y Negocio (por ejemplo: Ciencias de la Vida/Ambiental)
• Ubicación del trabajo.

4.2 Los usuarios recibirán un nombre de usuario único que se basará en su primer nombre preferido y su
apellido. En caso que existiera un nombre de usuario igual, se aplicará una variación, tal como el agregado
de la inicial del segundo nombre o solo el uso de la primera inicial.

4.3 Una vez asignado, el nombre de usuario permanecerá con el usuario a menos que se produzca un cambio
legal del nombre, en cuyo caso se realizará el cambio de nombre de usuario correspondiente. En caso de
cambiarse solamente el nombre preferido no se cambiará el nombre de usuario.

4.4 A algunos empleados se les asignará un nombre de usuario genérico en caso de que exista un entorno
compartido, como es el caso con turnos de 24 horas. Todas las condiciones que aplican a un usuario con un
único nombre aplicarán también para este usuario genérico.

4.5 Se le asignará una contraseña a cada nombre de usuario al momento de crearse para permitir que el usuario
se conecte (log in) por primera vez a la red de computadoras. Durante esta conexión, se le avisará al usuario
que debe crear una nueva contraseña que será de su conocimiento exclusivo.

4.6 Las contraseñas se deben mantener en secreto y nunca revelarse a otras personas. Si en cualquier momento,
un usuario sospecha que su contraseña se encuentra comprometida, deberá cambiarla para garantizar su
integridad.

4.7 Las contraseñas deben ser complejas de manera que no resulte fácil adivinarlas. Siempre que sea posible
se incorporarán reglas de verificación de contraseñas en las instrucciones de conexión para garantizar que
las contraseñas satisfagan las especificaciones mínimas siguientes:

• Debe contener al menos ocho (8) o más caracteres;

• Debe contener tres (3) de los siguientes cuatro (4) tipos de caracteres;
- Mayúsculas - ABCDEFGHIJKLMNOPQRSTUVWXYZ;
- Minúsculas - abcdefghijklmnopqrstuvwxyz;
- Números – 0123456789
- Signos - @ # $ % ^ & * - _ + = [ ] { } | \ : ‘ , . ? / ` ~ “ ( ) ;
• No debe contener el nombre de usuario;

4.8 Tiempo máximo sin cambiar contraseña: 90 días. Por esto se le pedirá que cambie su contraseña cada 3
meses. Si lo desea puede cambiarla con más frecuencia.

4.9 La contraseña debe ser distinta a las últimas CUATRO utilzadas.

4.10 Varios intentos fallidos por cambiar la contraseña harán que la sesión de conexión quede suspendida
durante un tiempo, aunque podrá reintentarlo más tarde. Si tiene algún problema con una contraseña
vencida o si necesita ayuda para cambiar la contraseña, diríjase a la Mesa de Ayuda de IT.

4.11 En el caso de las cuentas de empleados que requieran un nivel más alto de protección de datos y servicios
empresariales debido al papel y las actividades dentro de ASL, la autenticación multifactor (MFA) es
obligatoria. El inicio de sesión tradicional con la identificación del usuario y la contraseña se pueden ver
comprometidos fácilmente, lo cual requiere factores adicionales para autenticar el acceso del usuario a la
cuenta. Es posible que se requieran dispositivos móviles personales o corporativos para recibir el segundo
token de autenticación.

IT-GL-GRP-POL-001 – Versión 6 – Fecha de Revisión 18/11/2021 alsglobal.com  3

5. Acceso a la red y al sistema
5.1 Los encargados son los responsables de determinar el alcance de la red y el acceso al sistema requerido
por los empleados, y de notificar a la Mesa de Ayuda de IT para que les permita acceder.

5.2 Los dueños de los sistemas brindarán directivas sobre el nivel de acceso a sus aplicaciones y se asegurarán
de que se haya implementado un proceso que permita delegar la autoridad para implementar estos
controles.

5.3 La designación del alcance y de los niveles de acceso tiene el fin de facilitar el flujo seguro y efectivo del
trabajo y, al mismo tiempo, garantizar que se realicen los controles adecuados para proteger la información
de la Empresa.

5.4 Los encargados deben asegurarse de que haya una distinción adecuada de responsabilidades entre
los usuarios que tienen acceso a los procesos de aprobación dentro de los sistemas. Esto es obligatorio para
los sistemas que cuentan con un control directo para las transacciones financieras. Algunos ejemplos de
dichas transacciones incluyen la aprobación de pago de facturas, reclamos de gastos, pago de sueldos,
transferencias bancarias, retiros bancarios, envío de pedidos a proveedores, emisión de créditos o
reembolsos a clientes.

5.5 En los casos en que se sospeche de la realización de alguna actividad ilegal, la Empresa puede derivar el
asunto a la autoridad legal correspondiente.

6. Uso del correo electrónico y de los servicios de

internet
6.1 El único propósito de proporcionarles a los empleados acceso al correo electrónico y a servicios de Internet
es permitirles llevar a cabo las actividades de la Empresa. Hay incorporados sistemas de control para
proteger la red de la Empresa. Estos sistemas registran el uso y brindan un informe de funciones como parte
de las operaciones normales de IT.

6.2 La empresa se reserva el derecho a inspeccionar, sin aviso previo, cualquier dispositivo administrado por la
Empresa que se utilice para acceder a la red, a los sistemas y a otros procesos comerciales. Esta inspección
puede llevarse a cabo con o sin el conocimiento del empleado. Además la Empresa se reserva el derecho
de controlar, registrar, ver, bloquear, borrar o eliminar cualquier correo (e-mail), archivo, anexo o acceso a
Internet en cualquier momento sin aviso previo si se considera que no está relacionado a la actividad de la
Empresa o representa una amenaza a la seguridad de la red.

6.3 Cuando exista una razón comercial legítima para acceder a un sitio de Internet bloqueado o revelar un
correo electrónico bloqueado, el gerente del empleado en cuestión debe contactar a la Mesa de Ayuda de
IT para ponerse de acuerdo sobre el método correcto de permitir el acceso.

6.4 En el caso de un empleado que sea designado como contacto para recibir correos relacionados con el
negocio (como por ejemplo confirmaciones de pedidos, contacto de clientes y otros correos externos),
deben tomarse las provisiones necesarias para que durante períodos de licencia o emergencia tales correos
se re- direccionen o queden accesibles al empleado reemplazante correspondiente.

6.5 Tras la notificación del término de la relación laboral con un empleado, el Gerente debe dar aviso a la Mesa
de Ayuda de IT para que se deshabilite el nombre de usuario al finalizar el último día de trabajo. El Gerente
puede solicitar que la casilla de correo siga activa durante un periodo de hasta noventa (90) días para así
permitir que los correos relacionados con el trabajo se re-direccionen a otro usuario.

6.6 Los correos electrónicos se guardarán durante el período necesario para cumplir con los requisitos legales,
normativos o contractuales.

IT-GL-GRP-POL-001 – Versión 6 – Fecha de Revisión 18/11/2021 alsglobal.com  4

7. Hardware y software estándar
7.1 La Empresa les brindará a los usuarios de computadoras hardware, software y accesorios de computación
estándar. Los modelos de computadoras varían con el tiempo, por lo tanto, los Gerentes deberían siempre
consultar a la Mesa de Ayuda de IT para obtener la lista de precios actualizada de IT y los detalles de los
modelos.

7.2 La Empresa tiene acuerdos empresariales y de compra con varios proveedores de ICT. Se han establecido
procesos de compra en cada Región para poder aprovechar estos acuerdos de compra.

7.3 La instalación de software puede únicamente hacerla el personal de apoyo de IT autorizado o con previa
autorización de la Mesa de Ayuda de IT y de acuerdo al convenio de la licencia de software correspondiente.

7.4 El hardware que no estándar jamás se debe conectar directamente a la red de ALS, el cual incluye
dispositivos de computación y móviles de los empleados, contratistas, proveedores o clientes.

8. Acceso Remoto
8.1 Todos los usuarios podrán acceder al correo electrónico y a ALSNET desde cualquier computadora o
dispositivo móvil utilizando el proceso de autenticación de acceso remoto aprobado. Este proceso solo
estará disponible mientras el usuario sea un empleado de la Empresa.

8.2 Los usuarios autorizados deberán utilizar uno de los siguientes métodos de acceso aprobados, de acuerdo
con los requisitos de acceso y los dispositivos en uso:

• VPN - únicamente disponible para los dispositivos administrados por la Empresa que utilizan Windows
como sistema operativo. Esto proveerá acceso de igual manera que cuando se está conectado desde
un lugar de trabajo de la Empresa.
• Citrix - se puede utilizar desde cualquier dispositivo que ejecute la aplicación Citrix Receiver. El acceso
provisto estará limitado a un sistema específico y, por lo general, no permitirá la transferencia de datos
entre el dispositivo y la red de la Empresa.

8.3 Mientras se mantenga una conexión a la red de la Empresa usando el acceso remoto, los usuarios no deben
realizar actividades personales.

8.4 La totalidad de requerimientos de esta política se aplica en todo momento en que se use cualquier
dispositivo de la Empresa sin importar que se encuentre ubicado en la sede de la Empresa o se use bajo
condiciones de acceso remoto.

9. Mejoras a los Procesos del Negocio

9.1 Se alienta a todos los empleados a sugerir mejoras a los procesos del negocio e identificar áreas en las
cuales se pueda utilizar tecnología para reducir costos, automatizar actividades manuales, mejorar los
niveles de servicio o proporcionar soluciones innovadoras para los clientes.

IT-GL-GRP-POL-001 – Versión 6 – Fecha de Revisión 18/11/2021 alsglobal.com  5