01-Scti-ti00-Po01 Psi - Terra Servicios v3 0

POLITICA DE SEGURIDAD DE LA INFORMACIÓN
Código Versión Vigente a partir de Página

01-SCTI-TI00-PO01 3.0 TBD Página 1 de 21
POLITICA DE SEGURIDAD DE LA
INFORMACIÓN
01-SCTI-TI00-PO01
Elaborado/Editado por Revisado por Aprobado por

Tomas Nativí
Nombre Angela Sánchez Alimaría Alvarez Palacios
Jorge Ortez
Gerente de Tecnología de Información
Gerente Corporativa de
Puesto Seguridad Informática Director Servicios Financieros
Cumplimiento
Compartidos
Firma
Fecha
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

CONTENIDO
1. INTRODUCCIÓN/ PRESENTACIÓN ................................................................................................. 3
2. OBJETIVO ....................................................................................................................................... 4
3. ALCANCE ........................................................................................................................................ 4
4. DEFINICIONES ................................................................................................................................ 4
5. CLASIFICACIÓN Y PROTECCIÓN DE ACTIVOS DE INFORMACIÓN ................................................ 6
6. ACCESO A LOS SISTEMAS DE INFORMACIÓN .............................................................................. 6
6.1. ADMINISTRACIÓN DE USUARIOS Y PRIVILEGIOS DE ACCESO ............................................. 6
7. SEGURIDAD DE ACCESOS A USUARIOS EXTERNOS ..................................................................... 8
8. SEGURIDAD DE ACCESOS A PERSONAL TEMPORAL-EXTERNO .................................................. 8
9. SELECCIÓN, CUSTODIA Y SEGURIDAD DE CONTRASEÑA ........................................................... 8
10. ADMINISTRACIÓN DEL RECURSO INFORMÁTICO .................................................................. 10
11. USO DE EQUIPOS DE CÓMPUTO Y RESPONSABILIDADES DE LOS USUARIOS ..................... 11
12. USUARIOS REMOTOS Y COMPUTACIÓN MÓVIL .................................................................... 13
12.1. CONEXIONES REMOTAS .................................................................................................. 13
12.2. COMPUTACIÓN MÓVIL .................................................................................................... 13
13. USO DE INTERNET Y RESPONSABILIDADES DE LOS USUARIOS ........................................... 13
14. USO DE CORREO ELECTRÓNICO Y RESPONSABILIDADES DE LOS USUARIOS ..................... 14
15. ALMACENAMIENTO DE ARCHIVOS ......................................................................................... 16
16. RESPALDO DE ARCHIVOS ELECTRONICOS ............................................................................. 16
17. PROTECCIÓN CONTRA SOFTWARE MALICIOSO .................................................................... 16
18. EDUCACIÓN Y CREACIÓN DE CONCIENCIA EN TEMAS DE SEGURIDAD .................................17
19. TERMINACIÓN O CAMBIO DE PUESTO.....................................................................................17
20. RESPONSABILIDADES.............................................................................................................. 18
21. SANCIONES PREVISTAS POR INCUMPLIMIENTO.................................................................... 19
22. HISTORIAL DE VERSIONES ...................................................................................................... 19
23. ANEXOS .................................................................................................................................... 20
23.1. ACTA DE COMPROMISO DEL COLABORADOR QUE RECIBE UNA CUENTA DE USUARIO Y
CONTRASEÑA DE ACCESO .............................................................................................................. 20
23.2. ACUERDO DE RESPONSABILIDAD DE EQUIPO ASIGNADO ............................................ 21
_______________________________________________________________________________________________________________________
01-SCTI-TI00-PO01 Política de Seguridad de la Información
Documento propiedad de Terra Servicios. Se prohíbe su reproducción parcial o total.
Documentos impresos o fotocopiados son copias no controladas cuya vigencia es sujeta a verificación.

1. INTRODUCCIÓN/ PRESENTACIÓN
Las organizaciones y sus activos de información, sean estos físicos o digitales, se enfrentan de forma creciente a
amenazas internas y externas como ser: fraude asistido por computadora, espionaje, sabotaje, vandalismo,
fenómenos naturales, descuido y mal uso del tratamiento de la información, entre otros.
Según la norma ISO 27001 (Organización Internacional de Estandarización / International Standard Organization),
la seguridad de la información se define como la preservación de la confidencialidad, integridad y disponibilidad de
la información, así como de los sistemas implicados en su tratamiento dentro de una organización.
La Seguridad de la Información busca preservar tres principios fundamentales:

a) Confidencialidad: Se refiere a que la información sea accesible sólo por las personas que tengan la debida
autorización de acceso.
b) Integridad: Se refiere a la preservación de la información de forma exacta y completa; y de los métodos
de procesamiento.
c) Disponibilidad: Se refiere a que los usuarios autorizados tienen acceso a la información y a los recursos
relacionados con la misma en el momento en que se requiere.
Confidencialidad
Integridad
Disponibilidad
La Gerencia de Tecnología de la Información a través del presente documento, hace del conocimiento la Política de
Seguridad de la Información a ser implementada por todas las empresas de Terra Servicios, el cual recopila las
mejores prácticas para garantizar el nivel de seguridad que permita proteger los activos de información de
amenazas internas y externas.
_______________________________________________________________________________________________________________________

2. OBJETIVO
La Política de Seguridad de la Información establece directrices y normas para orientar el uso adecuado de la
tecnología disponible en Terra Servicios y, además, constituye una herramienta organizacional para concientizar a
todos los colaboradores sobre la importancia y sensibilidad de la información. La política define los lineamientos
para el uso, responsabilidad, implicaciones legales y todo lo relacionado con la continuidad de las operaciones de
Terra Servicios a través del uso correcto de los activos de información.
Los objetivos específicos de este documento son:
a) Proteger los activos informáticos de Terra Servicios de amenazas internas o externas, deliberadas o
accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad y disponibilidad de la
información.
b) Establecer directrices y normas para la forma de actuar en el uso de los activos de información.
c) Establecer un medio de cultura para generar compromiso a todo nivel sobre la Seguridad de la Información.
3. ALCANCE
Las disposiciones de esta política son de aplicación obligatoria tanto para los colaboradores de las empresas que
conforman Terra Servicios, así como a los practicantes, personal de terceros, consultores y cualquier otro que tenga
acceso a la información.
4. DEFINICIONES
a) Activo de Información: Activo que contiene Información en forma intangible, incluyendo, pero no
limitado a datos digitales, bases de datos, aplicaciones desarrolladas internamente, propiedad intelectual,
documentación, copias de respaldo, imágenes o video; así como activos físicos en forma de infraestructura
tecnológica, incluyendo pero no limitado a equipos, servidores, computadoras personales, dispositivos
móviles (portátiles, tabletas, teléfonos inteligentes, etc.) dispositivos de almacenamiento, equipo de
comunicaciones o sistemas de control de accesos.
b) Amenaza: Una causa potencial de un incidente no deseado, que puede resultar en daño a un sistema o a
una organización.
c) Archivos Adjuntos: Son archivos que pueden incluirse en los mensajes transmitidos a través de correo
electrónico. Lo anterior permite a los usuarios de esta herramienta, la facilidad de compartir diferentes
tipos de archivos – los que se adjuntan al mensaje que será enviado.
d) Confidencialidad: Compromiso activo de custodiar el conocimiento frente a terceros de la información
reservada para los usuarios autorizados de esos datos. Es un componente de las políticas de seguridad de
la información de la empresa que garantiza que la información es accesible solo para aquellas personas
autorizadas.
e) Control: Formas de manejar riesgo, incluyendo políticas, procedimientos, guías, prácticas o estructuras
organizacionales, que pueden ser de naturaleza administrativa, técnica o legal.
f) Disponibilidad: Se refiere a que los usuarios autorizados tengan acceso a la información en el momento
en que se requiera.
g) Hardware: Hace referencia un componente físico de un equipo informático u otro elemento informático.
h) ID: Es un identificador único para los usuarios utilizado para el desarrollo de sus funciones conocido
normalmente como ID de usuario.
_______________________________________________________________________________________________________________________

i) Incidente de Seguridad de la Información: Una ocurrencia identificada de un sistema, servicio o

comunicaciones propiedad de Terra Servicios, indicando una posible falla que tiene una probabilidad
significativa de amenazar la operación o la seguridad de la información de Terra Servicios.
j) Información: Se refiere a toda comunicación o representación de conocimiento como datos, en cualquier
forma, con inclusión de formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y
en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro.
k) Integridad: Se refiere a la exactitud y completitud de la información y de los métodos para su
procesamiento.
l) IP: Es la sigla de “Internet Protocol” o Protocolo de Internet, se trata de un estándar que se emplea para el
envío y recepción de información mediante una red de datos.
m) Perfil: Conjunto de permisos y prohibiciones de acceso y uso de dispositivos electrónicos del colaborador,
establecidos según las funciones que desempeña.
n) Proxy Web: es utilizado para interceptar la navegación de páginas web por motivos de seguridad,
anonimato, rendimiento, etc. Un proxy web se puede acceder por una dirección IP, gratuito o de pago, que
es agregada a un navegador (también existen programas proxy para evitar el proceso de configuración).
Cuando alguien utiliza el navegador, todo lo que se haga en el mismo pasa por el proxy primero.
o) Riesgo: Es la combinación de la probabilidad de ocurrencia de un evento y sus consecuencias.
p) Rol: Conjunto de actividades desempeñadas por un colaborador, relacionadas con el perfil (cargo) que
tiene asignado.
q) Seguridad de la Información: La salvaguarda de la confidencialidad, integridad y disponibilidad de la
información a través del establecimiento de controles, áreas seguras protegidas por un perímetro de
seguridad definido, barreras de seguridad apropiadas y controles de ingresos y egresos, entre otros.
r) Shareware: Es un tipo de software que es distribuido gratuitamente exclusivamente para ser probado,
pero posee restricciones en su funcionalidad o disponibilidad, por lo general son limitados a 30 días de uso.
s) Sistema de Información: Conjunto independiente de recursos de información organizados para la
recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados
procedimientos, tanto automatizados como manuales.
t) Soporte Técnico: Grupo de servicios que proveen asistencia para hardware, software y telefonía. Sirve
para ayudar a resolver los problemas que puedan presentárseles a los usuarios, mientras hacen uso de
servicios, programas o dispositivos.
u) HelpDesk: Software operado en Terra Servicios, para llevar registrar de las solicitudes de Soporte Técnico
a la Gerencia de Tecnología de la Información.
v) Spam: Es correo electrónico no solicitado, normalmente con contenido publicitario, que se envía de forma
masiva. Algunos de estos mensajes incluyen vínculos a páginas WEB.
w) Áreas de Inversión: Empresa y/o grupo de empresas que conforman la cartera de productos y servicios
brindados por Terra Servicios.
x) Tecnología de la Información: Se refiere al hardware y software operados en las empresas de Terra
Servicios, para llevar a cabo su función propia, sin tener en cuenta la tecnología utilizada.
y) Troyano: Tipo de virus informático que se caracteriza por engañar a los usuarios disfrazándose de
programas o archivos legítimos/benignos (fotos, archivos de música, archivos de correo, etc.), con el objeto
de infectar y causar daño.
z) Usuario: Son todas aquellas personas, que usan un rol y que utilizan sistemas de software, equipos
informáticos y los servicios de red provistos por Terra Servicios.
aa) Virus Informático: Componente de software cuyo propósito general es alterar el funcionamiento normal
de una computadora o equipo de computación, sin autorización.
_______________________________________________________________________________________________________________________

bb) Local Area Network (LAN): Una red de computadoras que abarca un área reducida a una oficina, un
departamento o un edificio.
cc) Virtual Private Network (VPN): Una red privada virtual que permite una extensión segura de la LAN sobre
una red pública o no controlada como Internet.
dd) Vulnerabilidad: Una debilidad en un activo o grupo de activos que puede ser explotado por alguna
amenaza.
5. CLASIFICACIÓN Y PROTECCIÓN DE ACTIVOS DE INFORMACIÓN

a) Toda la información creada o a la cual el colaborador tiene acceso como parte de sus funciones por los
sujetos al alcance de esta política durante su vinculación laboral con Terra Servicios es considerada
propiedad de esta. Esto incluye, pero no se limita a: desarrollos de programas, desarrollos de aplicativos
para uso interno o externo, desarrollos producto de proyectos contratados y desarrollados con fondos de
Terra Servicios en cualquiera de las empresas, correos electrónicos, reportes, documentos, imágenes,
fotografías, videos, y en general toda información internamente generada, procesada y editada; y
cualquier otra correlacionada o afín a lo descrito anteriormente.
b) La información debe de ser clasificada utilizando los siguientes niveles:
i. Confidencial
ii. De uso interno
iii. Pública
Dicha clasificación es responsabilidad de propietario de la información y en caso de consultas, se puede
buscar apoyo de la Gerencia de Tecnología de la Información.
c) El personal de la Gerencia de Tecnología de la Información puede realizar revisiones y monitoreo de la
información contenida en los equipos de cómputo propiedad de Terra Servicios a solicitud del presidente
de Terra Servicios.
6. ACCESO A LOS SISTEMAS DE INFORMACIÓN

a) Toda información y datos procesados en los sistemas de información de Terra Servicios son propiedad
exclusiva de Terra Servicios y el acceso a los sistemas por personal no autorizado tiene consecuencias en
acciones disciplinarias.
b) La información almacenada en los activos informáticos de Terra Servicios debe estar protegida por
controles de acceso, los cuales deben permitir el acceso solo al personal autorizado. Los usuarios tienen
únicamente los accesos necesarios a los sistemas de información que les permita la realización de sus
funciones.
6.1. ADMINISTRACIÓN DE USUARIOS Y PRIVILEGIOS DE ACCESO

a) Es responsabilidad de la Gerencia de Tecnología de la Información la administración de usuarios y
privilegios de acceso.
b) El acceso a los sistemas de información de Terra Servicios debe otorgarse conforme a lo establecido en
el Procedimiento de Administración de Cuentas de Usuarios (Active Directory) y Correo Electrónico
vigente.
c) Todos los usuarios para el desarrollo de sus funciones deben tener un identificador único (ID de Usuario),
de manera que las actividades realizadas tengan trazabilidad, incluido el personal de soporte técnico,
administradores de red, programadores de sistemas y administradores de bases de datos.
_______________________________________________________________________________________________________________________

d) Los identificadores de los usuarios (ID de usuario) en los sistemas con que cuenta Terra Servicios se basan
en los nombres y apellidos de los usuarios de tal modo que se puedan vincular por sus acciones, con
especial atención en casos homónimos de nombre o apellido, de tal manera que el ID de usuario sea único
y se distingan entre sí. Estos ID de usuario pueden ser modificados en cualquier momento a criterio
exclusivo de Terra Servicios.
e) Cada cuenta de usuario debe ser individual, de forma que sea posible relacionarla con un único
colaborador, no se deben utilizar cuentas de usuario con contraseñas grupales, y/o compartidas.
f) Se deben definir roles o perfiles de acceso para ingreso a las aplicaciones de acuerdo con el perfil del
puesto en la empresa.
g) Los usuarios de red y de los sistemas aplicativos deben ser autenticados por medio de nombres de
usuarios y contraseña para obtener acceso a éstos.
h) Se restringe la utilización de cuentas de usuario genéricas, exceptuando las cuentas de servicio que son
utilizadas para la ejecución de los servicios de los diferentes sistemas en ambiente de producción de Terra
Servicios, o aquellas excepciones debidamente aprobadas por la Gerencia de Tecnología de la
Información.
i) Se debe ejecutar con periodicidad mensual monitoreo y control permanente sobre cuentas de usuarios
administradores, súper usuarios, usuarios de emergencia, invitados, proveedores y temporales.
j) Recursos Humanos debe notificar; de forma inmediata como parte del proceso de desvinculación a la
Gerencia de Tecnología de la Información, de aquellos colaboradores que dejaron de laborar para las
empresas de Terra Servicios, para que todos sus accesos a los sistemas sean eliminados inmediatamente.
Del mismo modo, la Gerencia de Tecnología de la Información debe actualizar los accesos a los sistemas
a usuarios que cambien de funciones según las notificaciones que reciba de Recursos Humanos.
k) Las cuentas de usuarios en aquellos sistemas designados que presenten un período de inactividad de más
de treinta (30) días pasarán a estado inactivo. En caso de que existan excepciones de autenticación serán
documentadas por el área de Seguridad Informática.
l) Las cuentas de usuarios de los sistemas que presenten un período de inactividad mayor a sesenta (60)
días deben ser dadas de baja. En caso de que existan excepciones de autenticación serán documentadas
por el área de Seguridad Informática.
m) Se deben activar las pistas de auditoría en aquellos sistemas de información que cuenten con esta
funcionalidad, con el fin de registrar los sucesos de inicio de sesión tanto correctos como erróneos y
accesos a la información.
n) Las cuentas de usuarios utilizadas por terceras partes deben permanecer activas únicamente por el
periodo de tiempo previamente determinado.
o) Los usuarios de los sistemas de información son responsables de todas las actividades llevadas a cabo
con su cuenta de usuario.
p) Todas las contraseñas, para cuentas administrativas, deberán ser cambiadas cada 30 días y las cuentas
de usuario, cada 45 días de acuerdo a lo establecido en la presente política y/o cada vez que el usuario
sospeche que la seguridad de su contraseña pueda haber sido comprometida.
q) Las contraseñas de acceso que les sean otorgados a los colaboradores de Terra Servicios son
responsabilidad exclusiva de cada uno de ellos y no deben ser divulgadas a ninguna persona, a menos
que exista un requerimiento legal. De acuerdo con lo anterior, los usuarios no deben obtener contraseñas
u otros mecanismos de acceso de otros usuarios que pueda permitirles un acceso indebido.
_______________________________________________________________________________________________________________________

7. SEGURIDAD DE ACCESOS A USUARIOS EXTERNOS

a) Cualquier persona que visite las instalaciones de Terra Servicios y desee conectarse a internet, deberá de
hacerlo a través de una red con acceso limitado para la navegación (Ejemplo: Guest), la que será
configurada por el equipo de tecnología.
8. SEGURIDAD DE ACCESOS A PERSONAL TEMPORAL-EXTERNO
a) Todo personal temporal / externo que realiza actividades en las oficinas de Terra Servicios o de forma
remota, debe de estar identificado con una cuenta de usuario y contraseña para acceso a la infraestructura
tecnológica.
b) Todos los accesos a sistemas, bases de datos, Internet o a cualquier otro servicio o equipo tecnológico para
el personal temporal y/o externo deben de ser solicitados mediante solicitud en HelpDesk, adjuntando la
aprobación del supervisor inmediato.
a) Todos los equipos de personal temporal y externo, deberán de tener instalado un antivirus y las
actualizaciones de seguridad.
b) Deberá realizarse un escaneo previo a la conexión de la red interna, en caso de que el escaneo muestre
vulnerabilidades, se deberán mitigar para poder establecer dicha conexión, de otro modo, se deberá negar
el acceso.
c) Se deberá establecer política de bloqueo de puertos de almacenamiento externo.
d) Se deberá establecer política de borrado seguro al término de proyecto o de la prestación de los servicios.
9. SELECCIÓN, CUSTODIA Y SEGURIDAD DE CONTRASEÑA

a) La notificación para crear un usuario en el dominio, nuevo colaborador, debe de estar debidamente
sustentada por Recursos Humanos y el Jefe Inmediato.
b) Las contraseñas por defecto asociadas a los sistemas o aplicaciones nuevas deben ser cambiadas antes de
colocar estos sistemas en producción.
c) En aquellas plataformas de sistemas que permitan establecer características de contraseñas, se deben
implementar al menos las siguientes características:
i. Longitud mínima para cuentas de usuarios debe ser de diez (10) caracteres y para cuentas
administrativas de doce (12) caracteres.
ii. Complejidad por medio de la utilización de al menos dos (2) letras mayúsculas, dos (2) números,
dos (2) caracteres especiales y minúsculas.
iii. Tres (3) intentos de accesos fallidos, tras lo cual se bloquea la cuenta del usuario.
iv. Vigencia máxima de la contraseña de 45 días.
v. Historia de las diez (10) últimas contraseñas utilizadas, para evitar la reutilización de contraseñas.
Los sistemas que no permitan establecer estas políticas emplearan el máximo nivel de longitud de
contraseña soportada, y los parámetros de expiración y caducidad máximos con los que cuenten
internamente.
d) Todas las contraseñas emitidas inicialmente, deben ser válidas solamente para el primer ingreso del
usuario, inmediatamente la aplicación debe solicitar el cambio de esta asegurando que solamente el
propietario conozca su contraseña.
e) Todas las contraseñas deben ser tratadas como información confidencial, por lo que los usuarios tienen
prohibido:
_______________________________________________________________________________________________________________________

i. Compartir sus cuentas y contraseñas, incluyendo administrativos, secretarias, personal de

informática, jefes etc.
ii. Revelar sus contraseñas por teléfono, incluso que le hablen en nombre de Tecnología de la
Información o de un superior suyo en la organización.
iii. Revelar su contraseña en mensajes de correo electrónico ni a través de cualquier otro medio de
comunicación electrónica.
iv. Utilizar información personal en la contraseña: nombre del usuario o de sus familiares, apellidos, fecha
de nacimiento. En ninguna ocasión utilizar datos como el número de identificación o número de
teléfono.
v. Utilizar secuencias básicas de teclado (por ejemplo: “qwerty”, “asdf” o las típicas numeraciones:
“1234” ó “98765”)
vi. Escribir su contraseña en papel y dejarla desatendida, tampoco debe almacenar contraseñas en
archivos sin cifrar o sin proveerlo de algún mecanismo de seguridad.
vii. Revelar su contraseña en ningún cuestionario o formulario, independientemente de la confianza que
le inspire el mismo.
viii. Compartir su contraseña con familiares o amigos.
f) Si alguien solicita al usuario su contraseña, éste debe referirlo a la presente política o pedirle que se
comunique con el área de Seguridad Informática.
g) Todo usuario, previo al otorgamiento de acceso a los sistemas de información, debe leer y firmar el Acta
de compromiso del Colaborador que recibe una cuenta de usuario y contraseña de acceso. Anexo 23.1.
h) Después de un inicio de sesión fallido, deberán transcurrir 60 minutos antes de que este sea eliminado del
contador de intentos.
i) Cualquier colaborador deberá reportar a la Gerencia de Tecnología de la Información cualquier sospecha
de mal uso de una cuenta de usuario que pudiera comprometer la integridad y seguridad de la información,
el acceso de dicha cuenta será suspendido temporalmente y la Gerencia de Tecnología de la Información
analizará y determinará las acciones que correspondan.
j) Para el uso y gestión de contraseñas, se podrá realizar mediante una herramienta de gestión de
contraseñas.
k) Se recomienda evitar el activar o hacer uso de la utilidad de recordar contraseña de las aplicaciones.
l) Para el manejo de cuentas con privilegios de administración para sistemas operativos Windows, Unix,
Linux, dispositivos de red y seguridad, bases de datos y aplicativos la contraseña deberá ser resguardada
de manera digital con una herramienta de administración de contraseñas.
m) La solicitud de restablecimiento de contraseñas queda bajo exclusiva responsabilidad del usuario
propietario de los accesos, no será posible tramitar o asignar a través de un tercero; es decir la solicitud es
personal, el área de tecnología de la información deberá asegurarse que el solicitante es el propietario de
la cuenta reportada.
_______________________________________________________________________________________________________________________

10. ADMINISTRACIÓN DEL RECURSO INFORMÁTICO

La Gerencia de Tecnología de la Información debe:
a) Mantener un registro actualizado de todo el equipo de cómputo existente en Terra Servicios con el fin de
planificar nuevas adquisiciones, migraciones y mantenimientos.
b) Mantener un registro actualizado de todo el software utilizado en Terra Servicios, con el fin de cumplir
con los acuerdos de licenciamiento y control de uso del mismo.
c) Administrar, mantener inventarios y controles del equipo computacional de Terra Servicios que incluye,
pero no se limita a: computadoras de escritorio y portátiles, servidores, tabletas; razón por la cual es
responsable por la actualización, reubicación, asignación y todas aquellas actividades que impliquen
movimientos en su ubicación y mejora.
d) Todo equipo de cómputo que adquiera Terra Servicios debe solicitarse por los procesos de compra
correspondientes y tomando en cuentas las recomendaciones de los estándares establecidos por la
Gerencia de Tecnología de la Información y la Gerencia de Compras y Contrataciones.
e) El equipo de cómputo es asignado a personas específicas, por lo que la distribución del equipo se realizará
de la siguiente manera:
 Computadoras portátiles: asignadas a aquellos colaboradores que requieran movilidad en base a sus
funciones. La solicitud de este equipo debe de contar con la aprobación del jefe inmediato.
 Computadoras de escritorio: asignadas a aquellos colaboradores que no requieran movilizarse de su
lugar de trabajo. Cualquier excepción debe contar con la aprobación y justificación de la Gerencia.
f) Se prohíbe el uso de equipo de cómputo personal para ejecutar actividades o funciones laborales.
g) Los equipos de uso compartidos como impresoras y/o escáner, deben ser asignados a nivel de gerencia o
departamento y aplican los mismos lineamientos de los literales “f” y “g” incluidos en la sección 9
“Selección, Custodia y Seguridad de Contraseña”.
h) Mantener un estándar de instalación de software para los equipos (computadoras portátiles o de
escritorio). Adicionalmente, revisará periódicamente que los usuarios cuentan con el licenciamiento del
software respectivo.
i) En los equipos propiedad de Terra Servicios no se permite la instalación de software sin la aprobación de
la Gerencia de la Tecnología de la Información y respectiva licencia de uso de software.
j) Se permite la instalación temporal de software con licencia de uso para ejecutar labores específicas. Para
lo anterior, el usuario debe enviar una solicitud a través del Helpdesk aprobada por el Jefe Inmediato
indicando la justificación y tiempo de uso.
k) Los usuarios a quienes se les asigna un equipo informático son responsables del adecuado uso y custodia
de este y responden económicamente por los daños y pérdidas que sufra el equipo debido al mal uso o
descuido. En caso de pérdida o robo, el colaborador debe justificar y notificar la misma por escrito ante
su superior inmediato y a la Gerencia de Tecnología de la Información. El Jefe Inmediato determinará si
existe o no responsabilidad económica por parte del colaborador de reposición del equipo como
resultado del mal uso o descuido.
l) En los equipos móviles como computadoras portátiles, tabletas y teléfonos inteligentes se debe
establecer una contraseña de acceso y los niveles de seguridad que sean aplicables a cada tecnología.
Los colaboradores son responsables de salvaguardar los datos, información incluyendo datos de
contactos relacionados con sus funciones en la empresa, para lo cual se deben tomar todas las
precauciones pertinentes para mantener la confidencialidad de información de la cual es responsable.
_______________________________________________________________________________________________________________________

m) Los servidores, computadoras de escritorio y equipos portátiles deben contar con versiones actualizadas
de sistema operativo, aplicativos y antivirus para lo cual se distribuye actualizaciones periódicas a través
de la red.
n) Corresponde a la Gerencia de Tecnología de la Información supervisar el mantenimiento preventivo y
correctivo del equipo de cómputo propiedad de Terra Servicios.
o) Todo el hardware y cualquier accesorio asociado a los activos informáticos de Terra Servicios debe
contar, en la medida de lo posible, con una cobertura adecuada de seguro, a fin de tener una salvaguarda
contra robo, pérdida o daño.
11. USO DE EQUIPOS DE CÓMPUTO Y RESPONSABILIDADES DE LOS USUARIOS

a) El equipo de cómputo y el software utilizado constituyen herramientas de trabajo, por lo que cualquier
contenido o información creada, modificada, publicada y/o almacenada son propiedad de la empresa,
siendo responsabilidad directa del colaborador el uso adecuado del mismo.
b) Todos los colaboradores de Terra Servicios son responsables de administrar el uso de los recursos
tecnológicos asignados y deben ser responsables de sus acciones relacionadas a la seguridad informática.
c) Las computadoras portátiles que proporciona Terra Servicios a sus colaboradores deben ser usadas en un
entorno adecuado de seguridad, evitando exponerlas a condiciones extremas que pudieran dañar sus
componentes y la información contenida en ellas.
d) El usuario asignado es responsable, y debe asumir el costo de reposición o reparación, en caso de pérdida
o daño, cuando los mismos se produzcan por descuido, maltrato o mal uso imputable y comprobada por
parte del usuario.
e) En caso de que el equipo presente alguna anomalía en su operación, se debe notificar a la Gerencia de
Tecnología de la Información para la reparación del mismo.
f) Los equipos de cómputo se consideran como herramientas de trabajo, por lo que debe hacerse un uso
adecuado del mismo en conformidad a las actividades designadas.
g) Los usuarios no deben intentar acceder a cualquier información o programa contenidos en los sistemas de
Terra Servicios para los cuales no tienen autorización.
h) Los usuarios no deben dejar que personas no autorizadas utilicen sus equipos de cómputo.
i) Los usuarios deben proteger adecuadamente los equipos de cómputo bloqueándolos al dejarlos
desatendidos y asegurándose que no queden abiertos documentos o aplicaciones con información
confidencial y/o restringida.
j) Se deben contar con mecanismos automáticos de bloqueo de equipos de cómputo (protector de pantalla
con contraseña) después de cinco (5) minutos de inactividad.
k) Los usuarios deben cerrar su sesión de usuario y apagar sus equipos de cómputo al finalizar su jornada
laboral.
l) Los usuarios no deben instalar y utilizar software a cuenta propia. Cualquier instalación debe de ser
solicitada a la Gerencia de Tecnología de la Información para validar si se cuenta con la licencia
correspondiente y si es acorde a las funciones del usuario.
m) La Gerencia de Tecnología de la Información tiene la potestad de desinstalar o eliminar, sin previa
notificación, cualquier software o archivo que no esté relacionado con las funciones del usuario del equipo.
Ejemplo de este software y archivos incluyen, pero no se limitan a: juegos, programas de mensajería
instantánea, archivos de video y sonido, software libre, shareware.
n) Los usuarios no deben hacer copias de software que sea propiedad de Terra Servicios o cualquier otro
software con la cuente el licenciamiento respectivo.
_______________________________________________________________________________________________________________________

o) Los puertos USB, dispositivos ópticos para grabar CD / DVD y cualquier otro mecanismo externo mediante
el cual se pueda grabar información serán bloqueados por defecto en las computadoras de Terra Servicios
salvo aquellas excepciones autorizadas. Toda información deberá de ser enviada y recibida mediante
correo electrónico de la empresa u otra solución aprobada por la Gerencia de Tecnología de la Información,
sin embargo, en los casos que por temas de límite de espacio esto no sea posible, se deberá de hacer la
solicitud a la Gerencia de Tecnología de la Información para desbloquear los puertos y asegurar que el
dispositivo externo está libre de virus. Una vez utilizado el dispositivo externo, es necesario notificar
inmediatamente a la Gerencia de Tecnología de la Información para que se vuelva a bloquear el puerto
USB y/o dispositivo óptico.
p) Los usuarios no deben intentar evadir o deshabilitar los controles de seguridad implementados por Terra
Servicios, examinar los computadores y redes de Terra Servicios en busca de archivos de otros sin
autorización o introducir intencionalmente software diseñado para causar daño o impedir el normal
funcionamiento de los sistemas.
q) Los usuarios no deben descargar, instalar o ejecutar programas o herramientas que intenten violar los
mecanismos de seguridad en los sistemas. Estos incluyen, pero no se limitan a: programas para decodificar
contraseñas, sniffers, scanners de puertos, etc.
r) Los usuarios no deben intentar explotar una supuesta vulnerabilidad en los diferentes sistemas. El intentar
explotar vulnerabilidades puede ser interpretado como un potencial mal manejo del sistema y podría llevar
a la aplicación de sanciones de acuerdo con lo establecido en la presente política, Código de Conducta y
Reglamento Interno de Trabajo vigente. Se exceptúan las pruebas controladas que realicen las áreas de
Auditoria y/o la Gerencia de Tecnología de la Información como parte de sus validaciones de control
interno.
s) El usuario no debe intentar modificar los programas de seguridad (antivirus, antispyware, firewalls
personales) y configuraciones ya instaladas en los equipos de cómputo.
t) Los usuarios son responsables de comunicar al área de Seguridad Informática en caso de sospechar que
existan debilidades o amenazas de ciberseguridad.
u) Los usuarios son igualmente responsables de reportar cualquier violación o sospecha de violación de esta
política a la Gerencia de Tecnología de la Información y al área de Seguridad Informática.
v) Los equipos de los usuarios tienen habilitados los registros de auditoría del sistema operativo para sucesos
del sistema, sucesos de inicio de sesión de cuenta, administración de cuentas, uso de privilegios, cambio
de directivas y acceso a objetos. Estos registros pueden ser brindados por el área de Seguridad Informática,
o la Gerencia de Tecnología de la Información a solicitud justificada de la Gerencia de Área o Auditoría
Interna.
w) Los usuarios son responsables por todas las actividades que realicen en los sistemas de información.
x) Es recomendable el mantener las áreas de trabajo, limpias y ordenadas para proteger documentos físico y
dispositivos de almacenamiento removibles, a fin de reducir el riesgo de pérdida de la información.
y) Todo usuario al que se le asigne equipo móvil debe leer y firmar el Acuerdo de Responsabilidad de Equipo
Asignado. Anexo 23.2.
_______________________________________________________________________________________________________________________

12. USUARIOS REMOTOS Y COMPUTACIÓN MÓVIL
12.1. CONEXIONES REMOTAS

a) Todo acceso remoto a la información de Terra Servicios a través de sitios públicos debe ser debidamente
justificado y autorizado por la Gerencia de Tecnología de la Información.
b) El acceso remoto debe ser realizado a través de una conexión segura, VPN, a fin de garantizar la previa
identificación y autenticación del usuario, la integridad y confidencialidad de la comunicación y evitar que
los usuarios remotos comprometan la seguridad de la red de datos de Terra Servicios.
c) Toda conexión remota a la red de datos de Terra Servicios debe cumplir con las políticas de seguridad de
la información descritas en este documento, cualquier excepción al cumplimiento de o los lineamientos
que debilite el nivel de gestión y control de seguridad de la información deben ser autorizados por la
Gerencia de Tecnología de la Información.
d) La Gerencia de Tecnología de la Información debe monitorear la actividad de los usuarios que utilicen la
conexión VPN a fin de disponer de mayor visibilidad del uso del servicio de conexión remota.
e) Todo acceso remoto, que no sea a través de sitios públicos, a la información de Terra Servicios debe
realizarse a través de dispositivos asignados, quedando prohibido utilizar dispositivos que no sean de
propiedad de Terra Servicios.
f) La Gerencia de Tecnología de la Información debe garantizar capacidad, disponibilidad y seguridad de los
servicios disponibles a través de la conexión segura de VPN.
12.2. COMPUTACIÓN MÓVIL

a) Todas las computadoras portátiles de Terra Servicios deben tener instaladas las herramientas de
protección contra software malicioso.
b) Las computadoras portátiles pertenecientes Terra Servicios y que almacenen información confidencial y
sensible relacionada al negocio, deben tener instalado un software de cifrado de carpetas específicas a fin
de proteger la información que el usuario designe.
13. USO DE INTERNET Y RESPONSABILIDADES DE LOS USUARIOS

a) Los colaboradores de Terra Servicios con acceso a Internet son responsables por el uso adecuado del
acceso, navegando en aquellos sitios que sean necesarios para realizar sus funciones, evitando su uso para
propósitos ilegales, o perjudiciales para Terra Servicios.
b) Tienen acceso a navegación por Internet los colaboradores de Terra Servicios que por las características de
su trabajo demanden este servicio para cumplir con sus funciones. Los accesos deben ser autorizados por
el Jefe Inmediato del usuario.
c) Todo usuario debe limitarse a los permisos que le sean concedidos según su perfil de puesto.
d) El usuario no debe utilizar el Internet para ingresar a sitios no autorizados, ni a sitios que atenten contra la
moral, las buenas costumbres y los valores de Terra Servicios.
e) En el caso que un usuario necesite ingresar a un sitio Web para el desarrollo adecuado de sus funciones y
tenga denegado el acceso a éste, debe solicitarlo a través del Helpdesk a la Gerencia de Tecnología de la
Información indicando la dirección URL de la página a la que necesita ingresar y el motivo por el cual
necesita el acceso con la autorización del gerente respectivo.
f) Todas las solicitudes de acceso a sitio de Internet serán revisadas por el área de Seguridad Informática con
el fin asegurar que éste no representa riesgos para Terra Servicios, por lo que será decisión de la Gerencia
de Tecnología de la Información otorgar o no el acceso al sitio.
_______________________________________________________________________________________________________________________

g) El uso de herramientas tecnológicas externas para compartir o almacenar archivos como Dropbox, Google
Drive, etc. requieren de la aprobación del superior inmediato y de la Gerencia de Tecnología de la
Información, asumiendo el usuario los riesgos que el uso de estos aplicativos puede representar.
n) La Gerencia de Tecnología de la Información está autorizada para deshabilitar el acceso a Internet del
usuario que está haciendo uso indebido del mismo.
o) Queda prohibido, hacer uso del nombre de Terra Servicios para acceder a sitios de Internet, en los cuales
es requerida la audiencia externa (chat, newsgroups y similares), a menos que sea parte de su trabajo.
p) El usuario no debe utilizar Internet para acceder a información o participar en boletines relacionados con
piratería o cualquier otra actividad similar.
q) El usuario no debe intentar utilizar herramientas Proxy o cualquier otro mecanismo que permita
sobrepasar los controles establecidos para el filtrado de contenido.
r) El registro de la cuenta de correo electrónico de la empresa asignada al usuario debe emplearse en aquellos
sitios en Internet requeridos exclusivamente para la ejecución de sus funciones.
s) Queda establecido que es de conocimiento del usuario que Terra Servicios puede monitorear el contenido
de la información que circula a través de su red.
t) Los usuarios tienen la obligación de reportar inmediatamente a la Gerencia de Tecnología de la
Información cualquier incidente resultante del uso de Internet que parezca atentar contra la seguridad de
los recursos informáticos de Terra Servicios.
u) El usuario no debe colocar material confidencial, restringido o de uso interno de Terra Servicios en lugares
donde pueda ser accedido públicamente desde Internet.
v) El usuario debe verificar que la fuente de los archivos descargados de Internet sea confiable y que éstos no
contengan software malicioso que ponga en riesgo los bienes o servicios de Terra Servicios, antes de
ingresarlo a la red de las empresas de Terra Servicios.
w) El internet y la plataforma tecnológica de Terra Servicios debe ser utilizado exclusivamente para
propósitos laborales y no se debe emplear para cargar, descargar, almacenar, transmitir, recibir o crear
material que afecte directa o indirectamente a Terra Servicios.
x) En el caso que el usuario emplee la Internet para intercambio de archivos, asume la responsabilidad de
respetar los derechos de propiedad intelectual de los mismos.
y) El usuario no debe utilizar los recursos proporcionados para obtener acceso no autorizado a cualquier
equipo de cómputo o red.
z) El acceso a redes sociales, chats en línea, blogs y cualquier otra plataforma similar estará por defecto
restringido y las excepciones requieren autorización del Jefe Inmediato.
14. USO DE CORREO ELECTRÓNICO Y RESPONSABILIDADES DE LOS USUARIOS

a) Los colaboradores de Terra Servicios con acceso a correo electrónico son responsables de asegurar que su
utilización sea adecuada, ética y legal. Se restringe el uso del correo de Terra Servicios únicamente para
fines de trabajo prohibiendo el uso de este para fines personales.
b) Se prohíbe el acceso de cuentas de correo personal para propósitos laborales.
c) Tienen acceso a correo electrónico todos los colaboradores de Terra Servicios que por las características
de su trabajo demanden este servicio para cumplir con sus funciones.
d) La cuenta de correo electrónico es individual e intransferible. No se permite que segundas personas hagan
uso de ella. Terra Servicios puede suspender, cambiar o eliminar las cuentas de correo electrónico en caso
de que lo requiera.
_______________________________________________________________________________________________________________________

e) Recursos Humanos notificará el mismo día a la Gerencia de la Tecnología de la Información, sobre las bajas
de personal, a fin de proceder con la suspensión respectiva de la cuenta de correo electrónico.
f) El sistema de correo electrónico de Terra Servicios debe ser utilizado con fines laborales.
g) El usuario de correo electrónico no debe enviar mensajes con información o lenguaje inapropiados, los
cuales incluyen, pero no se limitan a: mensajes de contenido ofensivo, discriminatorio, texto en letras
mayúsculas (cuando no es necesario), violento, político o comercial.
h) El usuario no debe enviar o contestar cadenas de correo, correo no solicitado o cualquier otro tipo de SPAM
(correo basura) que pueda causar congestión o disrupción en la operación de la red o interferir con el
trabajo de otros.
i) El usuario de correo electrónico no debe transmitir información cuyo contenido sea ilegal, peligroso,
invasor del derecho a la privacidad, en cualquier otra forma ofensiva a terceros o violatorio a derechos de
autor, marcas o patentes.
j) El usuario no debe utilizar este medio para suplantar a otra persona, hacer declaraciones falsas sobre su
cargo o autoridad o cualquier otra forma de falsificación de la identidad.
k) Se incorpora en los correos electrónicos salientes de Terra Servicios una firma electrónica con información
del colaborador, la misma no debe ser modificada o eliminada del cuerpo/texto del correo electrónico.
l) Se incorpora en los correos salientes de Terra Servicios una advertencia de confidencialidad de la
información la cual no puede ser modificada o eliminada.
m) El usuario no debe alterar material reenviado a menos que sea autorizado por el remitente original o que
los cambios sean debidamente identificados.
n) Se aplican restricciones sobre determinados tipos de archivos considerados peligrosos, los cuales son
bloqueados y enviados a cuarentena. Los usuarios pueden solicitar la liberación de archivos de trabajo en
cuarentena a la Gerencia de Tecnología de la Información, quienes deben revisar que el archivo se
encuentra libre de software malicioso antes de hacerlo llegar al usuario.
o) El usuario de correo electrónico no debe utilizar este medio para transmitir intencionalmente texto o
archivos peligrosos para la integridad de la red o estaciones de trabajo.
p) El usuario no debe hacer uso de las listas para distribución masiva de correo electrónico sin la debida
autorización para ello. Las listas de distribución masiva están disponibles únicamente para casos especiales
o urgentes y asignadas a personal específico.
q) Es responsabilidad directa del usuario la administración de sus correos electrónicos, procurando una
lectura oportuna de los mismos, y eliminado aquellos mensajes que ya no sean necesarios, y así liberar
espacio en su buzón de correo electrónico.
r) El usuario es responsable de mantener un respaldo del contenido de los correos electrónico que lo
ameriten.
s) El usuario no debe ejecutar un archivo adjunto sin antes revisarlo con un antivirus actualizado. Si el archivo
adjunto es de un correo desconocido o que se encuentre en la lista de Remitentes Bloqueados, no debe
abrir el archivo y debe eliminar el correo.
t) El usuario no debe seguir vínculos contenidos en mensajes de correo electrónico si no conoce la fuente del
mensaje o si los mismos le resultan sospechosos o atípicos.
u) El usuario es responsable de mantener la seguridad del correo electrónico no dejando su equipo
desatendido con su cuenta de correo abierta.
v) La información transmitida mediante el servicio de correo electrónico es responsabilidad única y exclusiva
de cada usuario y por ello, Terra Servicios no asume ninguna responsabilidad por el mal uso de este
servicio.
_______________________________________________________________________________________________________________________

w) El usuario debe reportar a la Gerencia de Tecnología de la Información la recepción de mensajes con

información bajo sospecha de virus, cadenas de correo u otra distribución masiva, mensajes ofensivos,
mensajes con suplantación de identidad, o cualquier otro mensaje que viole lo establecido en la presente
política.
x) El servicio de correo y su contenido en los equipos de Terra Servicios se consideran confidenciales, sin
embargo, podrán ser utilizados por el personal designado en aquellos casos necesarios por razones de
investigación o auditoria.
y) La Gerencia de Tecnología de la Información debe configurar el programa de correo electrónico, para que
el usuario almacene sus correos en su computadora. A cada usuario se le concede, según sus funciones, un
espacio en el servidor de correo para el almacenamiento de sus correos, siendo el usuario responsable de
eliminar periódicamente los correos que no ocupa para la administración adecuada del almacenamiento
asignado.
15. ALMACENAMIENTO DE ARCHIVOS

a) Por defecto, los colaboradores deberán mantener los archivos electrónicos de trabajo en la carpeta
individual asignada en los servidores de archivos destinados para tal propósito. Es responsabilidad de la
Gerencia de Tecnología de la Información el aprovisionamiento de espacio para cada usuario de la red de
datos y acceso a la misma. En caso de requerirse el acceso remoto, será necesario conectarse utilizando la
VPN para asegurar una conexión segura.
b) Queda restringido el almacenamiento de archivos multimedia con extensiones: MP3, MP4, MOV, etc., en la
carpeta y subcarpetas de trabajos asignadas por la Gerencia de Tecnología de la Información. Cualquier
excepción debe contar con la aprobación y justificación de la Gerencia en la línea de reporte del usuario.
c) Terra Servicios se reserva el derecho de acceso a los equipos de cómputo a través de la Gerencia de
Tecnología de la Información para hacer los respaldos de información que considere necesarios.
16. RESPALDO DE ARCHIVOS ELECTRONICOS

a) Es responsabilidad de la Gerencia de Tecnología de la Información asegurar el respaldo de la información
de los usuarios, archivos electrónicos, alojada en los servidores destinados para tal propósito.
b) En función de un plan de respaldo de información de los servidores la Gerencia de Tecnología de la
Información retendrá una copia del respaldo en oficinas por un periodo no máximo de 7 días. La
información respaldada con una antigüedad mayor será resguardada en una localidad diferente a los
centros de datos de Terra Servicios.
c) Es responsabilidad del usuario el respaldo de los correos electrónico, archivos con extensión PST u OST,
que alocados en el equipo asignado por la empresa. En caso que el usuario desee realizar un respaldo a los
archivos de correo electrónico a una unidad externa de almacenamiento deberá contactar a la Gerencia de
Tecnología de la Información para la habilitación los puertos USB e encriptación de la unidad externa de
almacenamiento.
17. PROTECCIÓN CONTRA SOFTWARE MALICIOSO

a) La Gerencia de Tecnología de la Información es responsable de la instalación de herramientas para el
escaneo y eliminación de software malicioso en todos los equipos de Terra Servicios susceptibles a ser
afectados por software malicioso, incluyendo servidores y estaciones de trabajo.
_______________________________________________________________________________________________________________________

b) La Gerencia de Tecnología de la Información debe asegurar que las aplicaciones antivirus/anti troyanos en
todos los servidores y estaciones de trabajo sean actualizadas periódicamente con las últimas versiones de
definiciones de virus disponibles.
c) Los usuarios tienen la obligación de escanear cualquier dispositivo de almacenamiento con el software
antivirus/anti troyanos instalado en sus equipos por la Gerencia de Tecnología de la Información antes que
éste sea utilizado.
d) Los usuarios tienen la obligación de cumplir con las normas de seguridad dictadas en la presente política
sobre el uso adecuado de Internet y correo electrónico con el fin de evitar la infección de software malicioso
a través de esas vías.
e) En caso que un usuario detecte una posible infección por software malicioso, éste debe informarlo a la
Gerencia de Tecnología de la Información para que se tomen las medidas necesarias para su eliminación.
18. EDUCACIÓN Y CREACIÓN DE CONCIENCIA EN TEMAS DE SEGURIDAD

Los usuarios deben conocer y cumplir con las políticas y procedimientos referentes al uso adecuado de
los recursos informáticos.
a) Todos los colaboradores de Terra Servicios deben recibir una adecuada capacitación en materia de
seguridad informática por lo menos una vez al año, a fin de que tengan el conocimiento para proteger y
manejar apropiadamente los recursos informáticos y minimizar eventuales riesgos tecnológicos. Para
personal de primer ingreso, esta capacitación será coordinada en durante los primeros dos meses a partir
de la fecha de ingreso.
b) El área de Seguridad Informática coordinará las sesiones de capacitación o inducción sobre dicha política,
a las que todos los colaboradores deben asistir obligatoriamente.
c) En el caso de consultores que requieran el uso de los sistemas de información de Terra Servicios la gerencia
o departamento que solicitó sus servicios es responsable de velar el cumplimiento de la Política de
Seguridad de la Información.
d) La Gerencia de Tecnología de la Información realizará talleres, charlas o capacitaciones que promuevan la
seguridad de la información, para lo cual la participación se considera obligatoria para todos los
colaboradores.
19. TERMINACIÓN O CAMBIO DE PUESTO

a) Cuando un colaborador termine su relación laboral con Terra Servicios, Recursos Humanos debe
comunicar inmediatamente a la Gerencia de Tecnología de la Información, para que puedan proceder con
la eliminación de todos los accesos que tenga asignados a los sistemas y redes de Terra Servicios.
b) Recursos Humanos debe gestionar la devolución de toda la información, equipos y accesorios que fueron
asignados al colaborador durante su permanencia en Terra Servicios, previo a la gestión de la liquidación
laboral respectiva.
c) La información de Terra Servicios no debe ser divulgada por un usuario sin contar con los permisos
correspondientes, y ningún colaborador, contratista o consultor debe tomarla cuando termine su vínculo
con Terra Servicios, ya que toda la información confiada para hacer su trabajo, es propiedad de Terra
Servicios y/o sus subsidiarias y/o filiales y/o partes relacionadas y/o prestadoras de servicios, constituyendo
una información reservada de las mismas, y que sólo las referidas, son quienes pueden autorizar o
consentir su difusión o transmisión. Consecuentemente los colaboradores reconocen que no pueden usar
_______________________________________________________________________________________________________________________

en provecho propio o ajeno dicha información, ya que, de hacerlo así, esta consiente que puede cometer
un perjuicio o agravio de las mencionadas y que su conducta puede ser constitutiva de un delito.
20. RESPONSABILIDADES
a) Usuarios finales
i. Los usuarios son responsables de cumplir con todas las políticas de Terra Servicios relativas a la
Seguridad informática.
ii. Las responsabilidades en materia de seguridad deben ser de conocimiento de todos los colaboradores
de Terra Servicios y de obligatorio cumplimiento.
iii. Cada usuario final es responsable por el buen uso y seguridad del (los) activo(s) informáticos a él
asignado, cumpliendo con los controles, políticas y lineamientos expresados en esta política.
iv. Informar de forma inmediata a la Gerencia de Tecnología de la Información sobre cualquier violación
o situación que ponga en riesgo la información, redes, equipo, o infraestructura tecnológica.
v. Cada usuario está enterado que toda la información que le ha sido confiada es propiedad de la empresa
y/o sus subsidiarias y/o filiales y/o partes relacionadas y/o prestadoras de servicios, constituyendo una
información reservada de las mismas, y que sólo las referidas, son quienes pueden autorizar o
consentir su difusión o transmisión. Consecuentemente, cada usuario reconoce que no la puede usar
en provecho propio o ajeno, ya que, de hacerlo así, podría llevar a la aplicación de sanciones de acuerdo
con lo establecido en la presente política, Código de Conducta y Reglamento Interno de Trabajo
vigente
vi. Los colaboradores de Terra Servicios son responsables por mantener la confidencialidad de la
información y administración de los datos tanto al realizar sus funciones como más allá del horario
normal de trabajo.
vii. Todos los colaboradores deben aceptar y firmar durante el proceso de contratación, una constancia
de recepción de equipo de cómputo asignado como herramienta de trabajo y un acuerdo de
confidencialidad de la información.
b) Cargos de dirección, gerencia o jefatura a todos los niveles
i. Brindar el apoyo necesario para que todo el personal bajo su cargo esté informado de lo estipulado en
la presente política.
ii. Implementar los controles y lineamientos que sean necesarios para que los colaboradores bajo su
dirección/gerencia cumplan con lo estipulado en la presente política.
iii. Comunicar de forma inmediata a la Gerencia de Tecnología de la Información sobre cualquier violación
o situación que ponga en riesgo la información, redes, equipo, o sus sistemas.
c) Gerencia de Tecnología de la Información:
i. Evaluar, adquirir e implementar soluciones de seguridad informática, y realizar las demás actividades
necesarias para garantizar un ambiente informático seguro.
ii. Tomar las medidas necesarias para asegurar el cumplimiento de los lineamientos dictados en la
presente política.
_______________________________________________________________________________________________________________________

iii. Establecer controles y dar seguimiento al cumplimiento de las normas y políticas establecidas en este
documento.
iv. Administrar la Política de Seguridad de la Información de las empresas de Terra Servicios y revisar el
documento de forma anual.
v. Proponer los lineamientos, normas y políticas de la seguridad de la información en base a mejores
prácticas del mercado.
vi. Revisar por lo menos una vez al año o cuando se crea conveniente, la Política de Seguridad de la
Información para su actualización con el fin de evaluar la eficacia de su contenido y la aplicabilidad de
esta en todos los niveles de Terra Servicios.
d) Auditoria Interna
i. Es responsable del seguimiento y evaluación de la correcta aplicación de la presente política por todos
los colaboradores de Terra Servicios.
e) Recursos Humanos
i. Es la instancia que coordina la aplicación y calificación de sanciones en caso de faltas leves o graves
en caso de incumplimiento a esta política.
21. SANCIONES PREVISTAS POR INCUMPLIMIENTO
El incumplimiento de las disposiciones establecidas en la presente Política de Seguridad de la Información podrá

tener como resultado la aplicación de sanciones disciplinarias de acuerdo con las leyes, políticas, procedimientos,
normas y reglamento interno de las empresas de Terra Servicios y conforme a la magnitud y característica del
aspecto no cumplido.
22. HISTORIAL DE VERSIONES
Versión Sección/ Autor Cambio Realizado Fecha

Párrafo
V1.0 N/A Angela Sánchez N/A. Emisión inicial del documento 16/01/2020
Servicios Financieros
V3.0 Varios. 22/07/2022
Compartidos
_______________________________________________________________________________________________________________________

23. ANEXOS
23.1. ACTA DE COMPROMISO DEL COLABORADOR QUE RECIBE UNA CUENTA DE USUARIO Y
CONTRASEÑA DE ACCESO
Yo _______________________________________, con documento de identificación N°___________________ que

desempeñó el cargo de ________________________________ por medio del presente documento me comprometo
a:
1. Resguardar el debido sigilo de mi contraseña para el desempeño de mis funciones y resguardo debido,
cumpliendo con lo siguiente:
a) No proporcionaré mi contraseña a ningún otro colaborador de Terra Servicios o superior jerárquico.
b) Mi contraseña es única y solamente yo como dueño de ésta podré utilizarla.
c) En el caso de que tenga conocimiento que otra persona está haciendo uso de mi contraseña, informaré
por escrito a mi Jefe Inmediato para que lo reporte a la Gerencia de Tecnología de la Información quien
investigará el caso y pasará los resultados a la Gerencia de Recursos Humanos, para que se tomen las
medidas necesarias que el caso amerita.
d) En el caso que deba cambiar la contraseña, lo haré respetando las políticas establecidas por Terra
Servicios.
e) En caso de dudas, problemas con la cuenta de usuario, contraseña o acceso a algún sistema aplicativo
deberé comunicarme con la Gerencia de Tecnología de la Información.
f) Toda información que como trabajador de Terra Servicios y a través de mi cuenta de usuario llegue a mi
conocimiento, es confidencial y la resguardaré con el debido sigilo.
2. El incumplimiento con lo antes expresado podría aplicar o conllevar sanciones disciplinarias.
Leído el presente documento, lo encuentro conforme, ratifico y firmo, en la ciudad de _____________________ a

los _____ del mes de __________________del año______.
Colaborador
_______________________________________________________________________________________________________________________

23.2. ACUERDO DE RESPONSABILIDAD DE EQUIPO ASIGNADO
Yo _______________________________________, con documento de identificación N°___________________ que

desempeño el cargo de ________________________________ por medio del presente documento me comprometo
a:
1. Resguardar en todo momento el equipo asignado para el desarrollo de las funciones a mi cargo.
2. Mantener el equipo en un entorno adecuado de seguridad, evitando exponerlo a condiciones extremas que
pudieran dañar sus componentes y/o la información contenida en este.
3. Usar el equipo solamente para las actividades propias de las empresas de Terra Servicios.
4. Comprender y aceptar que el equipo asignado constituye una herramienta de trabajo por lo que toda la
información almacenada en este equipo es propiedad de Terra Servicios.
5. Los equipos asignados no deben ser retirados de las instalaciones de Terra Servicios sin contar con una
autorización por escrito. Se consideran como excepciones aquellos equipos móviles (laptops, tabletas, etc.).
6. Proteger adecuadamente el equipo al dejarlo desatendido, asegurando que no queden abiertos documentos
o aplicaciones con información confidencial.
7. Dar cumplimiento a lo establecido en la Política de Seguridad de la Información, reconociendo que el equipo
de cómputo y el software utilizado constituyen herramientas de trabajo, por lo que cualquier información
creada, modificada y/o publicada son propiedad de la empresa, siendo responsabilidad directa del colaborador
el uso adecuado del mismo.
Leído el presente documento, lo encuentro conforme, ratifico y firmo, en la ciudad de _____________________ a

los _____ del mes de __________________del año______.
Colaborador
_______________________________________________________________________________________________________________________

01-Scti-ti00-Po01 Psi - Terra Servicios v3 0

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

01-Scti-ti00-Po01 Psi - Terra Servicios v3 0

Cargado por

Copyright:

Formatos disponibles

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

Código Versión Vigente a partir de Página

Elaborado/Editado por Revisado por Aprobado por

Código Versión Vigente a partir de Página

Código Versión Vigente a partir de Página

La Seguridad de la Información busca preservar tres principios fundamentales:

Código Versión Vigente a partir de Página

Los objetivos específicos de este documento son:

Código Versión Vigente a partir de Página

i) Incidente de Seguridad de la Información: Una ocurrencia identificada de un sistema, servicio o

Código Versión Vigente a partir de Página

5. CLASIFICACIÓN Y PROTECCIÓN DE ACTIVOS DE INFORMACIÓN

6. ACCESO A LOS SISTEMAS DE INFORMACIÓN

6.1. ADMINISTRACIÓN DE USUARIOS Y PRIVILEGIOS DE ACCESO

Código Versión Vigente a partir de Página

Código Versión Vigente a partir de Página

7. SEGURIDAD DE ACCESOS A USUARIOS EXTERNOS

8. SEGURIDAD DE ACCESOS A PERSONAL TEMPORAL-EXTERNO

9. SELECCIÓN, CUSTODIA Y SEGURIDAD DE CONTRASEÑA

Código Versión Vigente a partir de Página

i. Compartir sus cuentas y contraseñas, incluyendo administrativos, secretarias, personal de

Código Versión Vigente a partir de Página

10. ADMINISTRACIÓN DEL RECURSO INFORMÁTICO

Código Versión Vigente a partir de Página

11. USO DE EQUIPOS DE CÓMPUTO Y RESPONSABILIDADES DE LOS USUARIOS

Código Versión Vigente a partir de Página

Código Versión Vigente a partir de Página

12. USUARIOS REMOTOS Y COMPUTACIÓN MÓVIL

12.1. CONEXIONES REMOTAS

12.2. COMPUTACIÓN MÓVIL

13. USO DE INTERNET Y RESPONSABILIDADES DE LOS USUARIOS

Código Versión Vigente a partir de Página

14. USO DE CORREO ELECTRÓNICO Y RESPONSABILIDADES DE LOS USUARIOS

Código Versión Vigente a partir de Página

Código Versión Vigente a partir de Página

w) El usuario debe reportar a la Gerencia de Tecnología de la Información la recepción de mensajes con

15. ALMACENAMIENTO DE ARCHIVOS

16. RESPALDO DE ARCHIVOS ELECTRONICOS

17. PROTECCIÓN CONTRA SOFTWARE MALICIOSO

Código Versión Vigente a partir de Página

18. EDUCACIÓN Y CREACIÓN DE CONCIENCIA EN TEMAS DE SEGURIDAD

19. TERMINACIÓN O CAMBIO DE PUESTO

Código Versión Vigente a partir de Página

b) Cargos de dirección, gerencia o jefatura a todos los niveles

c) Gerencia de Tecnología de la Información:

Código Versión Vigente a partir de Página

21. SANCIONES PREVISTAS POR INCUMPLIMIENTO

El incumplimiento de las disposiciones establecidas en la presente Política de Seguridad de la Información podrá

22. HISTORIAL DE VERSIONES

Versión Sección/ Autor Cambio Realizado Fecha

Código Versión Vigente a partir de Página

Yo _______________________________________, con documento de identificación N°___________________ que

a) No proporcionaré mi contraseña a ningún otro colaborador de Terra Servicios o superior jerárquico.

b) Mi contraseña es única y solamente yo como dueño de ésta podré utilizarla.

2. El incumplimiento con lo antes expresado podría aplicar o conllevar sanciones disciplinarias.

Leído el presente documento, lo encuentro conforme, ratifico y firmo, en la ciudad de _____________________ a

Código Versión Vigente a partir de Página

23.2. ACUERDO DE RESPONSABILIDAD DE EQUIPO ASIGNADO

Yo _______________________________________, con documento de identificación N°___________________ que

Leído el presente documento, lo encuentro conforme, ratifico y firmo, en la ciudad de _____________________ a

También podría gustarte

Yo _____________________, con documento de identificación N°_ que

Yo _____________________, con documento de identificación N°_ que