Laboratorio de Mediciones

Medioambientales PRO - 20
Versión: 4

Fecha entrada en PROCEDIMIENTO

vigencia: PROTECCIÓN DE LA Página 1 de 12
30 de Abril de 2019 INFORMACIÓN

PROCEDIMIENTO

PROTECCIÓN DE LA INFORMACIÓN

Fecha Cargo Firma Responsable

Elaborado por 18.03.19 Encargado de Calidad

Revisado por 18.03.19 Gerente de Operaciones

Aprobado por 18.03.19 Gerente General

La copia impresa no autorizada de este procedimiento es un documento no controlado y puede no estar debidamente
actualizado.

El presente documento es de exclusiva propiedad de SERCOAMB Ltda. El contenido total o parcial no puede ser reproducido ni facilitado a terceros sin
la expresa autorización de la Gerencia de la empresa.
 Laboratorio de Mediciones
Medioambientales PRO - 20
Versión: 4

Fecha entrada en PROCEDIMIENTO

vigencia: PROTECCIÓN DE LA Página 2 de 12
30 de Abril de 2019 INFORMACIÓN

1. PROCEDIMIENTO: Protección de la información

2. CONTENIDO.

1. Nombre
2. Contenido
3. Objetivo y Alcance
4. Referencias Normativas
5. Considerandos Previos
6. Responsabilidades
7. Actividades
8. Anexos
9. Control de Cambios

3. OBJETIVO Y ALCANCE.

Reducir los riesgos de error humano, uso inadecuado de instalaciones, recursos y

manejo no autorizado de la información.

Proteger los recursos de información de la organización y la tecnología utilizada

para su procesamiento, frente a amenazas, internas o externas, deliberadas o
accidentales, asegurando la integridad, disponibilidad, legalidad y confiabilidad
de la información.

Alcance: Este procedimiento es de aplicación a todas las áreas en donde se

desarrollen actividades de manejo, archivo de información y/o plataformas de
procesamiento de datos del laboratorio de Medición y Análisis de SERCOAMB
Ltda.

4. REFERENCIAS NORMATIVAS
Referencias:
NCh – ISO 17025.Of2005, Pto. 4.1.5 c): Protección de la Información
NCh – ISO 9001.Of2009, Pto. 7.5.4: Propiedad del Cliente
NCh – ISO 17020 – 2015, Pto. 4.2: Confidencialidad

La copia impresa no autorizada de este procedimiento es un documento no controlado y puede no estar debidamente
actualizado.

El presente documento es de exclusiva propiedad de SERCOAMB Ltda. El contenido total o parcial no puede ser reproducido ni facilitado a terceros sin
la expresa autorización de la Gerencia de la empresa.
 Laboratorio de Mediciones
Medioambientales PRO - 20
Versión: 4

Fecha entrada en PROCEDIMIENTO

vigencia: PROTECCIÓN DE LA Página 3 de 12
30 de Abril de 2019 INFORMACIÓN

5. CONSIDERANDOS PREVIOS.

Información: Es un conjunto organizado de datos procesados, que constituyen un

mensaje que cambia el estado de conocimiento de un usuario o sistema que recibe
dicho mensaje.

Equipos que la soportan: Software, hardware y medios físicos (archivadores,

carpetas, etc.) destinados a almacenar la información por un periodo de tiempo
definido o indeterminado.

Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones

que manejan y almacenan la información.

Seguridad informática: consiste en asegurar que los recursos de los sistemas de

información (material informático o programas) de una organización, sean
utilizados de la manera que se decidió y que el acceso a la información allí
contenida, así como su modificación, sólo pueda ser realizada por las personas que
se encuentran debidamente autorizadas.

Podemos entender como seguridad un estado de cualquier tipo de información

(informático o no) que nos indica que ese sistema está libre de peligro, daño o
riesgo.

Para que un sistema se pueda definir como seguro debe tener las siguientes
características:
 Integridad: La información sólo puede ser modificada por quien esté
autorizado y de manera controlada.
 Confidencialidad: La información solo debe estar disponible para el
personal autorizado.
 Disponibilidad: Debe estar disponible cuando sea necesitada.

Amenaza: es un evento que pueden desencadenar en un incidente en la

organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

La copia impresa no autorizada de este procedimiento es un documento no controlado y puede no estar debidamente
actualizado.

El presente documento es de exclusiva propiedad de SERCOAMB Ltda. El contenido total o parcial no puede ser reproducido ni facilitado a terceros sin
la expresa autorización de la Gerencia de la empresa.
 Laboratorio de Mediciones
Medioambientales PRO - 20
Versión: 4

Fecha entrada en PROCEDIMIENTO

vigencia: PROTECCIÓN DE LA Página 4 de 12
30 de Abril de 2019 INFORMACIÓN

Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza

sobre sus activos.

Activo: recurso del sistema de información o relacionado con éste, necesario para
que la organización funcione correctamente y alcance los objetivos propuestos.

6. RESPONSABILIDADES

La responsabilidad ejecutiva es de la Alta Dirección y toda la jefatura, quienes están

encargados de asegurar la aplicación y efectividad de las actividades descritas en el
presente procedimiento.

7. DESCRIPCIÓN DEL PROCEDIMIENTO

7.1 Seguridad Física

Consiste en la aplicación de barreras físicas y procedimientos de control, como

medidas de prevención ante amenazas a los recursos e información confidencial,
Implementados para proteger el hardware y medios de almacenamiento de datos.
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el
hombre como por la naturaleza del medio físico en que se encuentran ubicados los
sistemas de información.

7.2 Seguridad del Personal

Es fundamental educar e informar a todo el personal desde su ingreso y en forma

continua, acerca de las medidas de seguridad que afectan al desarrollo de sus
funciones y de las expectativas depositadas en ellos en materia de seguridad y
asuntos de confidencialidad de la información manejada, por ende, se deberán
ejecutar las siguientes medidas para cumplir con este objetivo:

El Encargado de Calidad, deberá designar un responsable, quien informará a todo el

personal que ingresa de sus obligaciones respecto del cumplimiento de las Políticas

La copia impresa no autorizada de este procedimiento es un documento no controlado y puede no estar debidamente
actualizado.

El presente documento es de exclusiva propiedad de SERCOAMB Ltda. El contenido total o parcial no puede ser reproducido ni facilitado a terceros sin
la expresa autorización de la Gerencia de la empresa.
 Laboratorio de Mediciones
Medioambientales PRO - 20
Versión: 4

Fecha entrada en PROCEDIMIENTO

vigencia: PROTECCIÓN DE LA Página 5 de 12
30 de Abril de 2019 INFORMACIÓN

de Seguridad de la Información y coordinará las tareas de capacitación de los

usuarios si es necesario, para un buen manejo de la información.

Tendrá a su cargo además el seguimiento, registro de documentación y análisis de

los incidentes de seguridad reportados por los trabajadores.

En cuanto al resto del personal de la organización tiene la responsabilidad del

reporte de debilidades e incidentes de seguridad que oportunamente se detecten y
darlos a conocer a su jefe directo, quien lo reportará al Encargado de Calidad y/o
Gerente de Operaciones.

7.3 Seguridad Ambiental

Protección de Oficinas, Recintos e Instalaciones.

El Gerente de Operaciones a en conjunto con el Encargado de Calidad, deberán

tener en cuenta las siguientes medidas de protección:
 Almacenar los materiales peligrosos o combustibles en lugares seguros y a
una distancia prudente de software y Hardware de almacenamiento de
información.
 Las dependencias deben estar provistas de extintores para el combate de
incendios, en especial utilizar medios de extinción de CO2 con motivo de
evitar el daño de equipos, componentes o accesorios de almacenamiento de
información.
 Almacenar información de respaldo en un sitio seguro y distante del lugar de
procesamiento.
 implementar cualquier medio de control de acceso a personas autorizadas al
centro de procesamiento de datos, mediante la utilización de claves secretas.

La copia impresa no autorizada de este procedimiento es un documento no controlado y puede no estar debidamente
actualizado.

El presente documento es de exclusiva propiedad de SERCOAMB Ltda. El contenido total o parcial no puede ser reproducido ni facilitado a terceros sin
la expresa autorización de la Gerencia de la empresa.
 Laboratorio de Mediciones
Medioambientales PRO - 20
Versión: 4

Fecha entrada en PROCEDIMIENTO

vigencia: PROTECCIÓN DE LA Página 6 de 12
30 de Abril de 2019 INFORMACIÓN

Ubicación y Protección Copias de Seguridad

Serán ubicadas y protegidas de tal manera que se reduzcan los riesgos ocasionados
por amenazas y peligros ambientales, y las oportunidades de acceso no autorizado.

Deberán ser almacenados dentro y otra fuera de los establecimientos de la

organización, como medida preventiva para asegurar la recuperación total de los
datos.

Para este fin, SERCOAMB mantiene a nivel interno un servidor HP ML110 G6,
equipado con un disco duro de 512GB y el Sistema Operativo Windows Server
Enterprise con una protección eléctrica mediante un UPS marca APC modelo Back-
UPS RS500, de 500VA y equipado con un antivirus Windows Defender, para
protección de accesos no autorizados y/o ataques externos. En este servidor se
almacena toda la información de la empresa y desde donde se extraen archivos a
editar o utilizar mediante accesos controlados desde cada puesto de trabajo
mediante red LAN interna.

El servidor posee una licencia de Windows Oficial, resguardada en la Oficina del

Gerente de Operaciones en el Estante del Sistema de Gestión de Calidad, con copia
de dicha licencia en resguardo de Secretaria de Gerencia.

El servidor está protegido mediante clave, la cual es automáticamente renovada

trimestralmente. Solamente tendrán la clave el Gerente General, Gerente de
Operaciones y Secretaria de Gerencia.

Existe un sistema de administración de usuarios, donde se delegan los accesos

controlados al área del servidor según la labor de cada trabajador, quedando registro
de las tareas ejercidas en ellos.

La copia impresa no autorizada de este procedimiento es un documento no controlado y puede no estar debidamente
actualizado.

El presente documento es de exclusiva propiedad de SERCOAMB Ltda. El contenido total o parcial no puede ser reproducido ni facilitado a terceros sin
la expresa autorización de la Gerencia de la empresa.
 Laboratorio de Mediciones
Medioambientales PRO - 20
Versión: 4

Fecha entrada en PROCEDIMIENTO

vigencia: PROTECCIÓN DE LA Página 7 de 12
30 de Abril de 2019 INFORMACIÓN

Además, SERCOAMB mantiene un servicio de respaldo externo mediante contrato

anual con la empresa CrashPlan, con cumplimiento en estándares militares de
protección con encriptación de archivos bajo norma AES-256 y una transmisión de
datos realizada bajo encriptación AES-128. El respaldo de información desde el
Servidor, es realizado por el Software proporcionado por la compañía contratada y
se realiza de manera continua, al momento de actualizar cualquier documento en las
carpetas seleccionadas para respaldo, siendo todo esto monitoreado por el Gerente
de Operaciones.

El manual de uso, junto con las claves de acceso a la nube del sistema externo de
respaldo, se encuentran bajo resguardo del Gerente de Operaciones.

Suministros de Energía

Para asegurar la continuidad del suministro de energía, se contemplarán las

siguientes medidas de control:
 Contar con un suministro de energía interrumpible, para asegurar el apagado
regulado y sistemático o la ejecución continua del equipamiento que sustenta
las operaciones críticas de la organización, si corresponde.
 Montar un generador según sea el caso, para cuando el procesamiento deba
continuar ante una falla prolongada en el suministro de energía.

Seguridad del Cableado

El cableado de energía eléctrica y de comunicaciones que transporta dato de

información relativa a la organización estará protegido contra intercepción o daño,
mediante las siguientes acciones:

 Utilizar piso ducto o cableado embutido en la pared, siempre que sea

posible, cuando corresponda a las instalaciones de procesamiento de
información.
 Separar los cables de energía de los cables de comunicaciones para evitar
interferencias.
La copia impresa no autorizada de este procedimiento es un documento no controlado y puede no estar debidamente
actualizado.

El presente documento es de exclusiva propiedad de SERCOAMB Ltda. El contenido total o parcial no puede ser reproducido ni facilitado a terceros sin
la expresa autorización de la Gerencia de la empresa.
 Laboratorio de Mediciones
Medioambientales PRO - 20
Versión: 4

Fecha entrada en PROCEDIMIENTO

vigencia: PROTECCIÓN DE LA Página 8 de 12
30 de Abril de 2019 INFORMACIÓN

Mantenimiento de Equipos

Se realizará el mantenimiento de los equipos para asegurar su disponibilidad e

integridad permanentes. Para ello se debe considerar:

a) Someter los equipos (hardware) a tareas de mantenimiento preventivo, de

acuerdo a las especificaciones recomendadas por el proveedor y por los
intervalos de tiempo definidos por la asesoría de técnicos de la especialidad
informática, si fuese el caso
b) Registrar todas las fallas supuestas o reales y todo el mantenimiento
preventivo y correctivo realizado.
c) Registrar el retiro de los equipos (hardware) de las instalaciones de la
organización para su mantenimiento, por empresas externas.
d) Eliminar la información confidencial que contenga cualquier equipo que sea
necesario retirar, realizándose previamente las respectivas copias de
respaldo.
e) Realizar un inventario de los equipos por lo menos cada seis (6) meses. La
confección y control del mismo estará a cargo del Área Técnica. En dicho
inventario se detallarán:

 Tipo de equipo.
 Número de serie.
 Número de identificación interna (si la hubiera).
 Estado (Muy bueno, Bueno, Malo).
 Área o Sector en el que se encuentra funcionando.
 Observaciones.

Resguardo de papeles y equipos

La copia impresa no autorizada de este procedimiento es un documento no controlado y puede no estar debidamente
actualizado.

El presente documento es de exclusiva propiedad de SERCOAMB Ltda. El contenido total o parcial no puede ser reproducido ni facilitado a terceros sin
la expresa autorización de la Gerencia de la empresa.
 Laboratorio de Mediciones
Medioambientales PRO - 20
Versión: 4

Fecha entrada en PROCEDIMIENTO

vigencia: PROTECCIÓN DE LA Página 9 de 12
30 de Abril de 2019 INFORMACIÓN

a) Almacenar bajo llave, cuando corresponda, los documentos en papel y los

medios informáticos, en gabinetes y/u otro tipo de mobiliario seguro cuando
no están siendo utilizados, especialmente fuera del horario de trabajo.
b) Guardar bajo llave la información sensible o crítica para la organización
(preferentemente en una caja fuerte o gabinete a prueba de incendios)
cuando no está en uso, especialmente cuando no hay personal en la oficina.
c) Retirar inmediatamente la información sensible o confidencial, una vez
empresa.

Procedimientos de Manejo de Incidentes

Se establecerán funciones y procedimientos de manejo de incidentes garantizando

una respuesta rápida, eficaz y sistemática a los incidentes relativos a seguridad. Se
deben considerar los siguientes ítems:

a) Contemplar y definir todos los tipos probables de incidentes relativos a

seguridad, incluyendo:

 Fallas operativas
 Código malicioso
 Intrusiones
 Fraude informático
 Error humano
 Catástrofes naturales

b) Comunicar los incidentes a través de canales jerárquicos (Organigrama

Empresa)
c) Contemplar los siguientes puntos en los procedimientos para los
planes de contingencia normales (diseñados para recuperar sistemas y
servicios tan pronto como sea posible):

 Definición de las primeras medidas a implementar

 Análisis e identificación de la causa del incidente.
La copia impresa no autorizada de este procedimiento es un documento no controlado y puede no estar debidamente
actualizado.

El presente documento es de exclusiva propiedad de SERCOAMB Ltda. El contenido total o parcial no puede ser reproducido ni facilitado a terceros sin
la expresa autorización de la Gerencia de la empresa.
 Laboratorio de Mediciones
Medioambientales PRO - 20
Versión: 4

Fecha entrada en PROCEDIMIENTO

vigencia: PROTECCIÓN DE LA Página 10 de 12
30 de Abril de 2019 INFORMACIÓN

 Planificación e implementación de soluciones para evitar la

repetición del mismo, si fuera necesario.
 Comunicación con las personas afectadas o involucradas con la
recuperación, del incidente.

Protección Contra Software Malicioso

El Gerente de Operaciones es responsable (junto con la asesoría de técnico externo)

de Seguridad Informática quine definirá e implementará controles de detección y
prevención para la protección contra software malicioso.

El Responsable de Seguridad Informática dará directrices adecuadas de

concientización de usuarios en materia de seguridad, controles de acceso al sistema
y administración de cambios. Estos controles deberán considerar las siguientes
acciones:

 Prohibir el uso de software no autorizado por la organización.

 Instalar y actualizar periódicamente software de detección y reparación
de virus, examinado computadoras y medios informáticos, como medida
de prevención y rutinaria.
 Mantener los sistemas al día con las últimas actualizaciones de seguridad
disponibles.
 Revisar periódicamente el contenido de software y datos de los equipos
de procesamiento que sustentan procesos críticos del organismo,
investigando formalmente la presencia de archivos no aprobados o
modificaciones no autorizadas.
 Verificar antes de su uso, la presencia de virus en archivos de medios
electrónicos de origen incierto, archivos recibidos a través de redes no
confiables y dispositivos de almacenamiento externo.
 Concientizar al personal acerca del problema de los virus ocultos (spam)
y de cómo proceder frente a los mismos.

La copia impresa no autorizada de este procedimiento es un documento no controlado y puede no estar debidamente
actualizado.

El presente documento es de exclusiva propiedad de SERCOAMB Ltda. El contenido total o parcial no puede ser reproducido ni facilitado a terceros sin
la expresa autorización de la Gerencia de la empresa.
 Laboratorio de Mediciones
Medioambientales PRO - 20
Versión: 4

Fecha entrada en PROCEDIMIENTO

vigencia: PROTECCIÓN DE LA Página 11 de 12
30 de Abril de 2019 INFORMACIÓN

7.4 Integrity of Data from Sampling, Measurement and Analysis.

Through the present procedure, SERCOAMB Ltda., Maintains the control of the integrity
of the sampling, measurement and analysis data, guaranteeing that ethics is an important
value to preserve at the time of performing SERCOAMB services.

The company will guarantee the following:

a) The preservation of data integrity is an important element within the

organization, so it will be part of the induction to the Quality Management
System of each new employee, as established in PRO-12. Likewise, annually,
the Quality Manager or the Operations Manager will carry out an annual
renewal instruction on the integrity of the data.
b) All personnel of SERCOAMB Ltda., involved in sampling, measurement and
analysis activities, will sign the SERCOAMB Code of Ethics Ltda.,
guaranteeing their commitment to the integrity of the data in all sampling,
measurement and analysis records.
c) In case of detecting an anomaly in the safeguarding of the integrity of the data
in any registry, every employee of SERCOAMB Ltda. will have the
opportunity to report the incident in a confidential manner to Senior
Management.
d) A semi-annual review of the random data of any project of SERCOAMB Ltda.
will be carried out, to verify its integrity, on the part of the Quality Manager.
e) The present procedure will be reviewed annually prior to the Review by the
Management of each year.
f) Digital Records, such as spreadsheets or other documents, will have any
formula that’s necessary for calculating results, as protected with a password
held by the quality manager, to avoid tampering of the information.
g) Every new spreadsheet created in the Quality Management System will be
proved to be accurate, by having a simulated calculation along with manual
calculations to be recorded on REG-33. This proof will be guarded by the
Quality Manager.
La copia impresa no autorizada de este procedimiento es un documento no controlado y puede no estar debidamente
actualizado.

El presente documento es de exclusiva propiedad de SERCOAMB Ltda. El contenido total o parcial no puede ser reproducido ni facilitado a terceros sin
la expresa autorización de la Gerencia de la empresa.
 Laboratorio de Mediciones
Medioambientales PRO - 20
Versión: 4

Fecha entrada en PROCEDIMIENTO

vigencia: PROTECCIÓN DE LA Página 12 de 12
30 de Abril de 2019 INFORMACIÓN

Any additional change made to a spreadsheet, that affects the previously

proofed formulas, will require an additional simulated calculation.

8. ANEXOS:
8.1 Registros

No tiene

9. CONTROL DE CAMBIOS

Ítem
Revisión
Modificado
1 Todo
2 7
3 7.4
4 7.4
Descripción modificación Fecha
Revisión General. Cambio de Cargo de
15.12.16
Jefe de Calidad a Encargado de Calidad.
Actualización de Información. 09.10.17
Inclusión de Requisitos TNI-FSMO sobre
la protección de la integridad de los datos 18.03.19
de muestreo, medición y análisis.
Inclusión de Requisitos de Protección y
30.04.19
Validación de Hojas de Calculo

La copia impresa no autorizada de este procedimiento es un documento no controlado y puede no estar debidamente
actualizado.

El presente documento es de exclusiva propiedad de SERCOAMB Ltda. El contenido total o parcial no puede ser reproducido ni facilitado a terceros sin
la expresa autorización de la Gerencia de la empresa.