Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev.

03

Política de protección de la información

Índice

APROBACIÓN ..................................................................................................................... 1

HISTORIAL DE REVISIÓN .................................................................................................. 2

1. INTRODUCCIÓN ........................................................................................................... 3

2. DEFINICIONES .............................................................................................................. 3

3. RESPONSIBILIDADES ................................................................................................. 4

4. PROTECCIÓN Y GOBERNANZA DE LA INFORMACIÓN ........................................... 4

4.1. Prevención de la pérdida de datos ............................................................................. 4

4.2. Clasificación de información ...................................................................................... 6

4.3. Protección de información .......................................................................................... 7

4.4. Gestión de registros .................................................................................................... 7

4.5. Gestión de amenazas................................................................................................... 8

4.6. Gestión de cuentas ...................................................................................................... 8

5. DESCUBRIMIENTO Y RESPUESTA ...........................................................................10

5.1. Auditoría ......................................................................................................................10

5.2. Investigaciones de datos............................................................................................10

5.3. Solicitudes de los interesados ...................................................................................11

6. SEGURIDAD .................................................................................................................11

6.1. General .........................................................................................................................11

6.2. Infraestructura. ............................................................................................................11

Página 1 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

6.3. Ambientes de desarrollo ............................................................................................14

6.4. Telefonía. .....................................................................................................................14

Aprobación
Aprobación Fecha de
Revisor Aprobador
electrónica aprobación
Steven Naude Andre van Deventer
ID - 28153 29/03/2022
Gerente de TIC del Grupo Director financiero

Próxima fecha de revisión Marzo de 2025

Historial de revisión
Rev. n° Cambios Fecha
00 Documento Nuevo 31/10/2016
Se agregó: 7.4 Los accesos a las funciones serán
revisados según sea necesario, 7.18 7.18. Las
01 contraseñas no se almacenarán mediante cifrado 20/03/2019
reversible. Se eliminó: 7.11. Las contraseñas expirarán
después de 60 días y deben ser únicas.
Documento actualizado con los siguientes cambios:
• Se cambió el nombre de Política de seguridad de TI a
Política de protección de la información.
02 22/02/2021
• Se cambió 1.
• Se eliminó 2.7. y 7.
• Se añadió 3.2.7 – 3.2.10 y 4 – 5.
Documento actualizado:
• Se cambió 4.6.10.
• Se añadió 4.6.12, 4.6.13, 4.6.17, 4.6.19, 4.6.21 –
03 28/03/2022
4.6.23
• Se eliminó 6.1.6. de Rev.02.
• Se añadió 6.2.56. y 6.2.57.

Página 2 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

1. INTRODUCCIÓN
1.1. El propósito de esta política es definir medidas de protección según lo siguiente:
1.1.1. la sensibilidad relacionada con la seguridad,
1.1.2. el valor empresarial y la trascendencia de la información,
1.1.3. independientemente de la forma en que aparezca la información: en computadoras o en
almacenamientos extraíbles y
1.1.4. durante la transmisión a través de la red.
1.2. El objetivo de la política es prevenir o mitigar las consecuencias de los incidentes
relacionados con la seguridad al mínimo posible y garantizar operaciones comerciales
ininterrumpidas.

2. DEFINICIONES
2.1. Control del acceso - Proceso de limitación del acceso a los recursos de un sistema
únicamente a los programas, procesos u otros sistemas autorizados.
2.2. Registro de auditoría - Registro cronológico de las actividades del sistema que es
suficiente para permitir la reconstrucción, revisión y análisis de la secuencia de entornos y
actividades que rodean o conducen a una operación, un procedimiento o un evento en una
transacción desde su inicio hasta los resultados finales.
2.3. Autorización - La función de establecer los niveles de privilegio de un individuo para
acceder y/o manejar información.
2.4. Disponibilidad - Asegurar que la información está lista y apta para su uso.
2.5. Confidencialidad - Asegurar que la información se mantiene en estricta privacidad.
2.6. Firewall - Dispositivo y/o software que evita el tránsito no autorizado e inapropiado de
acceso e información de una red a otra.
2.7. Hub - Dispositivo de red para repetir paquetes de red de información alrededor de la red.
2.8. Información - Información que Master Drilling recoge, posee o a la que tiene acceso, sin
considerar su fuente. Esto incluye información contenida en documentos impresos u otros
medios, comunicados a través de redes de voz o datos, o intercambiados en
conversaciones.
2.9. Integridad - Asegurar la exactitud, totalidad y consistencia de la información.
2.10. PBX - Central Secundaria Privada Automática – Pequeña central telefónica utilizada
internamente dentro de una organización.
2.11. Acceso no autorizado - Consultar, revisar, copiar, modificar, eliminar, analizar o manejar
información sin la autorización adecuada y la necesidad comercial legítima.
2.12. SAI - Sistema de alimentación ininterrumpida. Dispositivo que contiene baterías que
protege el equipo eléctrico de sobrecargas en la red eléctrica y actúa como fuente
temporal de energía en caso de un fallo de red.

Página 3 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

2.13. Virus - Software informático que se replica a sí mismo y a menudo corrompe programas y
datos informáticos.

3. RESPONSABILIDADES
3.1. El departamento de TI será responsable de proporcionar la protección y confidencialidad
adecuadas de todos datos corporativos y los sistemas informáticos, ya sea reteniéndolos
principalmente en un centro de datos, en medios de almacenamiento locales o a distancia,
para garantizar la disponibilidad continua de datos y sistemas a todo el personal
autorizado y garantizar la integridad de todos los datos y controles de configuración.
3.2. Se espera que todo el personal:
3.2.1. Clasifique la información de la que cada uno es responsable, según corresponda.
3.2.2. Acceda a la información solo cuando sea necesario para satisfacer necesidades
comerciales legítimas.
3.2.3. No divulgue, copie, libere, venda, preste, altere o destruya ninguna información sin un
propósito comercial y/o autorización válida.
3.2.4. Proteja la confidencialidad, integridad y disponibilidad de la información de manera
consistente con el tipo de información.
3.2.5. Proteja cualquier clave física, tarjeta de identificación, cuenta de computadora o cuenta de
red que le permita a cada uno acceder a la información.
3.2.6. Deseche los medios que contengan información de manera consistente con el tipo de
información y cualquier requisito de retención aplicable de Master Drilling. Esto incluye
información contenida en cualquier documento impreso (como un memorándum o informe)
o en cualquier medio de almacenamiento electrónico, magnético u óptico (como una tarjeta
de memoria, CD, disco duro, cinta magnética o disco).
3.2.7. Desempeño incorrecto y sospechoso de los sistemas.
3.2.8. Infracciones intencionadas y no intencionadas relacionadas con la seguridad.
3.2.9. Fallas, virus y errores de los sistemas.
3.2.10. Deficiencias observadas relacionadas con la seguridad.

4. PROTECCIÓN Y GOBERNANZA DE LA INFORMACIÓN

4.1. Prevención de la pérdida de datos
4.1.1. Para cumplir con los estándares comerciales y las regulaciones de la industria, es
fundamental proteger la información confidencial (como números de identificación y
registros médicos) para evitar su divulgación involuntaria.
4.1.2. Estas políticas se aplican a los datos del correo electrónico, SharePoint, OneDrive y
Teams. En caso de que se active alguna de estas políticas, se notificará al usuario por
correo electrónico, pero el contenido se seguirá compartiendo con el destinatario (incluidas
las personas fuera de la organización). Los informes de incidentes se envían a los
administradores de seguridad.

Página 4 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

Política de prevención
Información confidencial Orden
de pérdida de datos
Número de seguridad social de EE.UU. (SSN)
Ley de seguro médico Número de la Administración de control de drogas (DEA)
0
de EE.UU. (HIPAA) Clasificación internacional de enfermedades (ICD-9-CM)
Clasificación internacional de enfermedades (ICD-10-CM)
Ley de acceso a
Número del servicio nacional de salud del Reino Unido
informes médicos del 1
Número de seguro nacional del Reino Unido (NINO)
Reino Unido
Número de pasaporte de Canadá
Ley de información Número de seguridad social de Canadá
médica de Canadá Número de servicio médico de Canadá 2
(HIA) Número de identificación personal de salud de Canadá
(PHIN)
Ley de registros de
Número de identificación fiscal de Australia
salud de Australia 3
Número de cuenta médica de Australia
(HRIP)
Número de tarjeta de crédito
Información financiera
Número de cuenta bancaria de EE.UU. 4
de EE.UU.
Número de ruta ABA
Número de tarjeta de crédito
Información financiera
Número de tarjeta de débito de la UE 5
del Reino Unido
Código SWIFT
Información financiera Número de tarjeta de crédito
6
de Alemania Número de tarjeta de débito de la UE
Información financiera Número de tarjeta de crédito
7
de Canadá Número de cuenta bancaria de Canadá
Código SWIFT
Información financiera Número de identificación fiscal de Australia
8
de Australia Número de cuenta bancaria de Australia
Número de tarjeta de crédito
Leyes estatales de Número de tarjeta de crédito
EE.UU. para Número de cuenta bancaria de EE.UU.
9
notificación de Número de licencia de conducir de EE.UU.
infracciones Número de seguridad social de EE.UU. (SSN)
Número de identificación personal del contribuyente de
Información de
EE.UU. (ITIN)
identificación personal 10
Número de seguridad social de EE.UU. (SSN)
(PII) de EE.UU.
Número de pasaporte de EE.UU. / Reino Unido
Número de tarjeta de crédito
Número de cuenta bancaria de EE.UU.
US Patriot Act Número de identificación personal del contribuyente de 11
EE.UU. (ITIN)
Número de seguridad social de EE.UU. (SSN)
Número de seguro nacional del Reino Unido (NINO)
Ley de protección de
Número de pasaporte de EE.UU. / Reino Unido 12
datos del Reino Unido
Código SWIFT

Página 5 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

Política de
prevención de Información confidencial Orden
pérdida de datos
Información de
Número de licencia de conducir de Alemania
identificación personal 13
Número de pasaporte de Alemania
(PII) de Alemania
Número de seguridad social de Francia (INSEE)
Información de
Número de licencia de conducir de Francia
identificación personal 14
Número de pasaporte de Francia
(PII) de Francia
Documento nacional de identidad de Francia (CNI)
Número de licencia de conducir de Canadá
Número de cuenta bancaria de Canadá
Información de Número de pasaporte de Canadá
identificación personal Número de seguridad social de Canadá 15
(PII) de Canadá Número de servicio médico de Canadá
Número de identificación personal de salud de Canadá
(PHIN)
Información de
Número de identificación fiscal de Australia
identificación personal 16
Número de licencia de conducir de Australia
(PII) de Australia
Información de
identificación personal Número de identificación de Sudáfrica 17
(PII) de Sudáfrica
Información de
Número de cuenta permanente de India (PAN)
identificación personal 18
Número de identificación único de India (Aadhaar)
(PII) de India
Información de
identificación personal Número de documento de identidad de Chile 19
(PII) de Chile
Información de
Número de tarjeta de identidad de residente en China
identificación personal 20
(RPC)
(PII) de China
Información de Número de identificación fiscal de Brasil (CPF)
identificación personal Número de persona jurídica de Brasil (CNPJ) 21
(PII) de Brasil Documento nacional de identidad de Brasil (RG)
Información de
Documento nacional de identidad de Suecia
identificación personal 22
Número de pasaporte de Suecia
(PII) de Suecia
Información de
identificación personal Número de licencia de conducir de Italia 23
de Italia
4.2. Clasificación de información
4.2.1. La clasificación de información permite a Master Drilling identificar el valor comercial de los
datos no estructurados en el momento de su creación, separar la información valiosa que
puede ser objeto de un ataque de la información menos valiosa y tomar decisiones

Página 6 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

informadas sobre la asignación de recursos para proteger los datos de accesos no

autorizados.
4.2.2. Se han configurado las siguientes etiquetas de clasificación de datos:
Clasificación
Descripción Ejemplo Política
de datos
Material de marketing
Público (por Datos que pueden divulgarse Sin encriptación
Comunicaciones
defecto) libremente al público. Sin restricciones
generales
Encriptado
Datos internos no destinados a Pronóstico de planta
Solo interno Restringido a usuarios
la divulgación pública. Organigramas
internos
Datos sensibles que, de verse
Contratos Encriptado
comprometidos, podrían
Confidencial Evaluaciones de Restringido a usuarios
afectar negativamente las
trabajadores específicos
operaciones.
Encriptado
Datos muy sensibles que, de Restringido a usuarios
verse comprometidos, podrían Registros médicos específicos
Restringido
poner en riesgo a la Datos bancarios Aplicar etiquetas de
organización. prevención de pérdida
de datos
4.3. Protección de información
4.3.1. Proteger los datos en tránsito mediante encriptado.
4.3.2. Además de proteger los datos estáticos, se usa TLS 1.2 con una intensidad de cifrado de
256 bits para proteger los datos en tránsito.
4.4. Gestión de registros
4.4.1. Retención del correo electrónico.
4.4.2. La siguiente tabla detalla las etiquetas de retención relacionadas con todos los buzones de
correo.
Periodo de Acción en la
Nombre Tipo
retención retención
Por defecto Por defecto 356 días Archivar

Correo no deseado Correo no deseado 30 días Borrar

1 mes borrar Personal / A petición 30 días Borrar

1 año borrar Personal / A petición 365 días Borrar

5 años borrar Personal / A petición 1825 días Borrar

1 año archivar Personal / A petición 365 días Archivar

5 años archivar Personal / A petición 1825 días Archivar

Página 7 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

4.5. Gestión de amenazas

4.5.1. Protección contra suplantación de identidad (phishing)
Se ha configurado la protección contra la suplantación de identidad para los usuarios en
puestos clave. El umbral está configurado para ser el más agresivo posible.
4.5.2. Archivos adjuntos seguros
Los archivos adjuntos de correo electrónico se analizan en busca de contenido malicioso.
El correo electrónico no se entregará con archivos adjuntos inmediatamente, ya que estos
se volverán a adjuntar una vez que se haya completado el análisis.
4.5.3. Enlaces seguros
Los enlaces de los correos electrónicos y documentos se analizan y se bloquean si se
detecta que son maliciosos.
4.5.4. Protección contra el spam
Control de la entrega de mensajes y aplicación de políticas para los mensajes de spam,
masivos o de phishing. Esto incluye los mensajes entrantes y salientes, así como la
inteligencia contra falsificación (spoofing).
4.5.5. Protección contra malware
Detección de correos electrónicos maliciosos y eliminación de archivos adjuntos dañinos.
Los usuarios serán notificados si un mensaje ha sido puesto en cuarentena o borrado.
4.5.6. DomainKeys Identified Mail
DKIM es un proceso de autenticación que protege tanto al remitente como al destinatario
de correos electrónicos falsificados y de phishing.
4.5.7. Reportes de usuarios
Los usuarios pueden fácilmente reportar sospechas de spam, phishing y correos
electrónicos maliciosos mediante su cliente de correo electrónico nativo de Outlook.
4.6. Gestión de cuentas
4.6.1. Los usuarios solo recibirán los derechos suficientes en todos los sistemas para que
puedan desempeñar sus laborales. Los derechos de los usuarios se mantendrán al
mínimo en todo momento.
4.6.2. Los usuarios que necesiten acceder a los sistemas registrarán un ticket de solicitud de
acceso al sistema en el servicio de asistencia de SharePoint.
4.6.3. De ser posible, no se le otorgará a ninguna persona derechos absolutos sobre ningún
sistema.
4.6.4. Los accesos a las funciones serán revisados según sea necesario.
4.6.5. El administrador del sistema será responsable de mantener la integridad de los datos y de
determinar los derechos de acceso del usuario final.
4.6.6. El acceso a la red, servidores y sistemas será mediante usuario y contraseña individuales.
4.6.7. Los usuarios no deben compartir sus nombres de usuario ni contraseñas.

Página 8 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

4.6.8. Los usuarios no deben anotar sus nombres de usuario ni contraseñas.

4.6.9. Los usuarios estarán compuestos de las iniciales, el nombre y/o apellido.
4.6.10. Todos los usuarios tendrán una contraseña alfanumérica de al menos 13 caracteres que
contenga números y caracteres especiales.
4.6.11. Se implementará la detección de intrusos cuando sea posible. La cuenta del usuario se
bloqueará después de 3 intentos incorrectos.
4.6.12. La contraseña de las cuentas de usuario se deberá cambiar cada 60 días y la de las
cuentas de servicio cada 365 días.
4.6.13. Las cuentas de servicio deberán tener una contraseña alfanumérica de al menos 25
caracteres que contenga números y caracteres especiales.
4.6.14. Se notificará al departamento de TI cuando un empleado deje de trabajar para Master
Drilling. El departamento de TI eliminará los derechos de dicho empleado en todos los
sistemas.
4.6.15. Las contraseñas de la red, del servidor y del administrador del sistema se guardarán en un
lugar seguro en caso de emergencia o desastre.
4.6.16. Se implementará una auditoría en todos los sistemas para registrar los intentos/fallas de
inicio de sesión, los inicios de sesión exitosos y los cambios realizados en todos los
sistemas.
4.6.17. No está permitido el uso de cuentas incorporadas por defecto, como la cuenta de
administrador, y se deberán desactivar o eliminar. En su lugar, se deberá crear una cuenta
de administrador con una convención de nomenclatura no estándar.
4.6.18. Las contraseñas predeterminadas en los sistemas y equipos de red se deben cambiar
después de la instalación.
4.6.19. Las contraseñas no se deberán almacenar con cifrado reversible. Se hará una excepción
solo en la red APN Fochville Vodacom.
4.6.20. Al cambiar la contraseña, esta no debe ser la misma que las últimas tres contraseñas.
4.6.21. Los usuarios con cuentas privilegiadas como los ingenieros de soporte deberán tener una
contraseña alfanumérica de al menos 20 caracteres que contenga números y caracteres
especiales.
4.6.22. Los ingenieros de soporte e implementación solo deben tener acceso cuando sea
necesario y se les debe quitar el acceso una vez que hayan completado su función.
4.6.23. Todas las cuentas de usuario deben tener habilitada la autenticación multifactor. En caso
de que no se pueda habilitar, por ejemplo si se trata de cuentas por lotes, de
automatización robótica de procesos y cuentas de SMTP para impresoras, se deberá tener
una contraseña alfanumérica de al menos 20 caracteres que contenga números y
caracteres especiales.

Página 9 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

5. DESCUBRIMIENTO Y RESPUESTA
5.1. Auditoría
5.1.1. Un registro de auditoría es un conjunto de registros cronológicos relevantes para la
seguridad que proporcionan evidencia de la secuencia de actividades que han afectado en
cualquier momento una operación, procedimiento o evento específico (por ejemplo, quién
accedió a un documento específico o eliminó un elemento de su buzón).
5.1.2. Los registros de auditoría se guardan durante 90 días y registran los siguientes tipos de
actividades de usuarios y administradores.
a) Actividad de usuario en SharePoint Online y OneDrive for Business.
b) Actividad de usuario en Exchange Online (registro de auditoría de buzón de
Exchange).
c) Actividad de administrador en SharePoint Online.
d) Actividad de administrador en Azure Active Directory (servicio de directorio para
Microsoft 365).
e) Actividad de administrador en Exchange Online (registro de auditoría de administrador
de Exchange).
f) Actividades de eDiscovery en el centro de seguridad y cumplimiento.
g) Actividad de usuario y administrador en Power BI.
h) Actividad de usuario y administrador en Microsoft Teams.
i) Actividad de usuario y administrador en Dynamics 365.
j) Actividad de usuario y administrador en Yammer.
k) Actividad de usuario y administrador en Microsoft Power Automate.
l) Actividad de usuario y administrador en Microsoft Stream.
m) Actividad de analista y administrador en Microsoft Workplace Analytics.
n) Actividad de usuario y administrador en Microsoft Power Apps.
o) Actividad de usuario y administrador en Microsoft Forms.
p) Actividad de usuario y administrador para etiquetas de confidencialidad para sitios que
usan SharePoint o Microsoft Teams.
5.2. Investigaciones de datos
5.2.1. Una fuga de datos ocurre cuando un documento que contiene información confidencial,
sensible o maliciosa se publica en un entorno que no es de confianza.
5.2.2. Cuando se detecta una fuga (de forma manual o gracias al control del sistema), es
importante contener rápidamente el entorno, evaluar la extensión y lugares de la fuga,
examinar las actividades relacionadas de los usuarios y tomar medidas correctivas.
5.2.3. El uso de herramientas de investigación de datos (eDiscovery) permite buscar datos
confidenciales, maliciosos o extraviados, investigar lo sucedido y tomar las medidas
adecuadas para remediar la fuga.
Página 10 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

5.2.4. La investigación de datos que involucren a un trabajador solo puede ser solicitada por
Recursos Humanos.
5.2.5. Las solicitudes de investigación de datos que contengan propiedad intelectual y/o que se
requieran para investigaciones y/o auditorías formales solo pueden ser realizadas por el
Director financiero o el Director general.
5.3. Solicitudes de los interesados
5.3.1. Master Drilling otorga derechos a los trabajadores para que gestionen datos personales
que hayan sido recolectados en la red corporativa, esto incluye la obtención de copias,
solicitud de cambios, restricción del procesamiento y la eliminación.
5.3.2. Los trabajadores pueden pedir una DSR (solicitud del interesado) a través del servicio de
asistencia de DSR.

6. SEGURIDAD
6.1. General
6.1.1. El acceso a Internet y a otros servicios externos está restringido únicamente al personal
autorizado.
6.1.2. El acceso a los datos de todas las computadoras debe asegurarse mediante cifrado u
otros medios, para garantizar la confidencialidad de los datos en caso de pérdida o robo
del equipo.
6.1.3. Únicamente se puede instalar software autorizado y con licencia, y la instalación
solamente puede realizarla el departamento de TI.
6.1.4. Está prohibido el uso de software no autorizado. En el caso de que se descubra un
software no autorizado, este se borrará inmediatamente de la computadora y se puede
tratar en virtud del proceso disciplinario.
6.1.5. Se deben verificar todos los dispositivos extraíbles de fuentes externas para detectar si
hay virus antes de ser usados dentro de Master Drilling.
6.1.6. Las configuraciones de la computadora únicamente pueden ser cambiadas por el
departamento de TI.
6.2. Infraestructura
6.2.1. El departamento de TI dispondrá de un software de detección de virus actualizado para
poder detectar y eliminar sospechas de virus.
6.2.2. Los servidores corporativos estarán protegidos con software antivirus.
6.2.3. Las computadoras estarán protegidas por un software de escaneo de virus.
6.2.4. Todos los programas informáticos y antivirus del servidor se actualizarán periódicamente
por el departamento de TI con las últimas actualizaciones del antivirus.
6.2.5. No se utilizará ningún disco o dispositivo extraíble incorporado desde fuera de Master
Drilling hasta que el departamento de TI lo haya escaneado.

Página 11 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

6.2.6. Todos los sistemas se construirán a partir de copias maestras originales y limpias, cuya
protección contra escritura siempre ha estado en su lugar. Únicamente se utilizarán copias
maestras originales hasta que se haya realizado el escaneo de virus.
6.2.7. Todas las demostraciones/presentación de proveedores se ejecutarán en sus máquinas y
no en las de Master Drilling.
6.2.8. El nuevo software comercial se escaneará antes de que se instale.
6.2.9. El departamento de TI escaneará todos los dispositivos extraíbles traídos a Master Drilling
antes de que se puedan utilizar.
6.2.10. Para permitir que los datos sean recuperados en caso de un brote de virus, el
departamento de TI realizará copias de respaldo regularmente.
6.2.11. Se notificará a los usuarios sobre incidentes de virus.
6.2.12. En caso de una posible infección por virus, el usuario debe informar inmediatamente al
departamento de TI. El departamento de TI analizará el equipo infectado y cualquier
dispositivo extraíble u otros bienes y/o recursos a los que el virus pueda haberse
propagado para erradicarlo.
6.2.13. Todo hardware informático estará visiblemente marcado por un adhesivo de activos fijos
aprobado.
6.2.14. Los chasis de computadora o los gabinetes provistos de cerraduras siempre se
mantendrán cerrados.
6.2.15. Siempre que sea posible, el equipo informático se mantendrá como mínimo a 2 metros de
las ventanas exteriores en situaciones de alto riesgo.
6.2.16. Todas las ventanas externas a las salas que contienen equipos informáticos en la planta
baja, o que de otro modo sean visibles al público, estarán provistas de persianas o de una
lámina oscura.
6.2.17. Las salas del servidor estarán situadas en una habitación específicamente construida para
este fin.
6.2.18. La sala del servidor tendrá un sistema de aire acondicionado adecuado con el fin de
proporcionar un entorno operativo estable para reducir el riesgo de fallos del sistema
debido al fallo del componente.
6.2.19. Ningún sistema de agua, agua de lluvia o tuberías de drenaje funcionará dentro o por
encima de la sala del servidor con la finalidad de reducir el riesgo de inundación.
6.2.20. Las tomas de corriente en las salas de servidores se elevarán desde el suelo para permitir
que se apaguen sin problemas los sistemas informáticos en caso de inundación.
6.2.21. Siempre que sea posible, se proporcionará energía del generador a las salas de
servidores para ayudar a proteger los sistemas en caso de que la red eléctrica falle.
6.2.22. El acceso a las salas de servidores estará restringido al personal del departamento de TI.
6.2.23. Todos los contratistas que trabajen en salas de servidores deben ser supervisados en todo
momento y el departamento de TI debe ser notificado de su presencia y recibir detalles de
todos los trabajos a realizar, al menos 48 horas antes de su inicio.

Página 12 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

6.2.24. Los equipos de red de área local, hubs, puentes, repetidores, enrutadores e interruptores
se mantendrán en gabinetes seguros. Estos gabinetes se mantendrán cerrados en todo
momento y el acceso estará restringido solamente al personal del departamento de TI.
Otros empleados y contratistas que requieran acceso a los gabinetes notificarán al
departamento de TI con antelación para que se pueda programar la supervisión necesaria.
6.2.25. Se deben apagar todas las computadoras que no se utilizan fuera de las horas de trabajo.
6.2.26. Se implementarán sistemas de detección de intrusos para detectar el acceso no
autorizado a la red.
6.2.27. Todos los servidores y equipos de red estarán equipados con SAI que también
condicionen la fuente de alimentación.
6.2.28. En el caso de que la red eléctrica falle, los SAI tendrán suficiente potencia para mantener
la red y los servidores funcionando hasta que el generador tome el control.
6.2.29. El software se instalará en todos los servidores para implementar una desactivación
ordenada en caso de un fallo total de energía.
6.2.30. Todos los SAI se probarán periódicamente.
6.2.31. Los equipos de red de área local inalámbricos usarán las instalaciones de cifrado y
autenticación más seguras disponibles.
6.2.32. Los enrutadores y firewalls utilizarán las instalaciones de cifrado y autenticación más
seguras disponibles.
6.2.33. Los usuarios no instalarán su propio equipo inalámbrico bajo ninguna circunstancia.
6.2.34. Los protocolos innecesarios se eliminarán de los enrutadores y firewalls.
6.2.35. El método preferido de conexión al exterior de Master Drilling es mediante una conexión
SSL segura.
6.2.36. Las conexiones permanentes a Internet se harán a través de un firewall con el fin de
regular el tráfico de la red.
6.2.37. El equipo de red se configurará para que cierre las sesiones inactivas.
6.2.38. El acceso de los usuarios a Internet se realizará a través de un servidor proxy y un
escáner de contenido web.
6.2.39. Todo el correo electrónico entrante será escaneado por el escáner de contenido de correo
electrónico.
6.2.40. Las direcciones IP serán incluidas en la lista blanca cuando corresponda.
6.2.41. Los sistemas operativos se mantendrán actualizados y se actualizarán periódicamente.
6.2.42. Los servidores se verificarán diariamente en busca de virus.
6.2.43. Los servidores se guardarán en una sala segura.
6.2.44. El uso de las cuentas del administrador se mantendrá a un mínimo.
6.2.45. El acceso de los usuarios a datos y aplicaciones estará limitado por las funciones de
control de acceso.

Página 13 de 14
 Entrada en vigencia 5 April 2022 Documento n.° SPO-MDG-ICT-0004-S Rev. 03

Política de protección de la información

6.2.46. Se activará la detección de intrusos y bloqueo.

6.2.47. Se habilitarán las instalaciones de auditoría del sistema.
6.2.48. Las conexiones de escritorio remoto reforzarán la autenticación de nivel de red, el cifrado
de conexión de cliente de 128 bits, la capa de seguridad SSL RPC y la capa de seguridad
SSL (TLS 1.0).
6.2.49. La convención de nomenclatura 8DOT3 se deshabilitará para que se proteja a los
servidores web contra la vulnerabilidad de enumeración de directorios de Tilde.
6.2.50. Se restringirá la divulgación de información (información de la versión, configuración,
archivos y directorios) en los servidores web.
6.2.51. Las instalaciones de Telnet y SSH estarán restringidas a usuarios autorizados.
6.2.52. Según corresponda se utilizará el protocolo SSH en lugar de Telnet sin cifrar.
6.2.53. Se usará la convención de nomenclatura SMNP “pública” no predeterminada.
6.2.54. La firma de Server Message Block (SMB) será obligatoria entre los alojadores.
6.2.55. Se configurarán los servidores web y sitios web para imponer la validación adecuada de
entrada con la finalidad de garantizar que únicamente ciertos tipos de caracteres sean
aceptados por el servidor.
6.2.56. Las conexiones a la VPN de Citrix deberán estar en la lista blanca de IP y se deberán
verificar con una lista de control de acceso a IP.
6.2.57. Se deberá deshabilitar Powershell en los servidores y se habilitará solo cuando sea
necesario, por ejemplo, para gestionar los parches o hacer mantenimiento.
6.3. Ambientes de desarrollo
6.3.1. Los ambientes de desarrollo estarán aislados de la red corporativa.
6.3.2. Los sistemas desarrollados serán auditados por seguridad antes de ser lanzados a
producción.
6.3.3. Todos los sistemas desarrollados deben incorporar los niveles más altos de cifrado y
autenticación disponibles.
6.4. Telefonía
6.4.1. El puerto de mantenimiento en la PBX estará protegido con una contraseña segura.
6.4.2. Se utilizará contabilidad de llamadas para monitorear patrones de llamadas anormales.
6.4.3. El operador procurará asegurar que una llamada externa no se transfiera a una línea
externa.
6.4.4. Las facturas telefónicas se revisarán cuidadosamente para identificar cualquier uso
indebido del sistema telefónico.

Página 14 de 14