POLÍTICA DE SEGURIDAD INFORMATICA

1.0 INTRODUCCION
Los constantes eventos mundiales han generado mayor urgencia de contar en las organizaciones
con una Política de Seguridad Informática respecto a todos los activos informáticos que esta
posea y a fin de brindar una seguridad efectiva, se hace necesario implementar un sistema de
seguridad debidamente documentado con política y normas claras y bien definidas y con sus
respectivos procesos.
La empresa X de su misión, visión y funciones, a través de este documento pone de manifiesto
su decidido apoyo a la implementación de la Política de Seguridad Informática con las
respectivas Normas de Seguridad Informática y Procesos, a fin de garantizar la disponibilidad,
integridad y confiabilidad de la información.

2.0 GENERALIDADES
2.1 OBJETIVO GENERAL
La política de Seguridad Informática de la empresa X tiene como objetivo principal, establecer
la visión de la compañía en esta materia, estableciendo las directrices para proteger los activos
informáticos mediante la implementación de controles para reducir los riesgos a los que están
expuestos.
2.2 OBJETIVOS ESPECIFICOS
 Disponer de un instrumento que sirva de guía para la aplicación de la seguridad en todas
las actividades informáticas de la empresa X.
 Realizar todas las operaciones informáticas bajo estándares internacionales
 Garantizar a los usuarios internos y externos un ambiente seguro para llevar a cabo las
transacciones que corresponda.
 Disponer de una herramienta de seguridad informática que contribuya a obtener la
certificación de la red y de los principales procesos de la institución.
 Establecer un orden tanto técnico como administrativo para llevar a cabo las labores
informáticas.
2.3 ALCANCE
Este documento de Política de Seguridad Informática, es de observancia y cumplimiento
obligatorio para todos los funcionarios, empleados permanentes y supernumerarios de la
empresa X.

3.0 CLASIFICACIÓN Y CONTROL DE ACTIVOS

3.1 CLASIFICACIÓN DE LA INFORMACIÓN
Toda la información que se procesa en la empresa X, estará sujeta a clasificación, ordenándola
de acuerdo a los niveles establecidos en los estándares internacionales como ser ISO/IEC
17799:2002 e ISO 27001 y otros, para determinar si es reservada, confidencial o pública y darle
el tratamiento que corresponda. Lo anterior debe incluir directrices para clasificar y proteger la
información almacenada en las microcomputadoras personales en la empresa conforme a la
clasificación realizada se regirá por la Norma de Seguridad Informática y el Proceso para la
Clasificación y Administración de Activos Informáticos.
3.2 INVENTARIO DE ACTIVOS INFORMÁTICOS Y RESPONSABILIDADES
Todo activo informático, hardware, software, datos e información, deberá tener un usuario
responsable, para ello el Departamento de Servicios Generales continuará aplicando el
procedimiento de control de activos para el equipo de cómputo, donde cada usuario es
responsable del activo que está utilizando y el Departamento de Informática y Tecnología
manteniendo actualizado el inventario de los activos software, datos e información, definiendo
un procedimiento adecuado para la rotulación y manejo de los mismos.

4.0 SEGURIDAD DEL PERSONAL

DESCRIPCIÓN DEL PUESTO

4.1 La empresa X, mantendrá actualizadas las funciones de cada empleado mediante el

documento “DESCRIPCION DE PUESTO”, para evitar que se asuma o designen
responsabilidades no propias del puesto que puedan implicar al empleado errores involuntarios,
la multiplicidad de funciones que conlleve a la segregación de funciones críticas.

4.2 La contratación de personal para labores informáticas y para manejo de información

sensitiva, deberá ser sometido al proceso de selección de Recursos Humanos apegado al perfil
de los puestos ya establecidos con énfasis en las competencias aptitudinales y actitudinales y
aspectos socioeconómicos.

4.3 Como parte de la seguridad personal y la información, un acuerdo de confidencialidad

deberá ser firmado por aquellos empleados que tengan acceso a información mediante el
conocimiento de las claves de acceso a los sistemas, equipos servidores, acceso a medios de
almacenamiento magnético, bases de datos y manejo de información confidencial.
REPORTES DE INCIDENTES

4.4 Todos los empleados estarán obligados a reportar de inmediato cualquier anormalidad que
observe en el funcionamiento de su equipo de procesamiento de datos, comunicaciones, el
incumplimiento de las Normas de Seguridad Informática o mal funcionamiento de alguno de las
herramientas informáticas así como incidentes que lesionen la seguridad de los activos de la
empresa X, para lo cual deberá notificarlo al Administrador de Seguridad Informática por
escrito, correo electrónico (sinformatica@empresaX.hn) o llamada telefónica al Jefe
inmediato y al Administrador de Seguridad Informática.

COMUNICACIONES
4.5 La función o responsabilidades de Administración de redes LAN y WAN serán ejecutadas
por una persona distinta a la que realiza la Administración de Sistemas Operativos y deberán
estar respaldadas por las Normas y los Procesos de Seguridad Informática necesarios para la
Administración de Equipo de Cómputo, UPS y Comunicaciones, debiendo aplicar controles
especiales en la transmisión de los datos en las redes públicas y privadas para garantizar la
integridad y privacidad de los mismos. Deberá tomarse en cuenta la elaboración de un manual
de configuraciones, el proceso para cambio de configuraciones, bitácora de incidentes y los
procesos de reemplazo por obsolescencia o contingencia.
 NORMA PARA LA GESTIÓN Y USO DEL GESTOR DE CONTENIDOS DEL
PORTAL DIGITAL DE LA EMPRESA X
1. INTRODUCCIÓN

La norma contiene disposiciones específicas para el segmento de negocio encargado de

administrar y publicar los contenidos; asimismo, contempla disposiciones específicas para
el segmento de tecnología encargado de brindarle mantenimiento a la plataforma y
asegurarse de su correcto funcionamiento. Los lineamientos, directrices, roles,
responsabilidades y referencia a los procesos incluidos en esta versión de la norma permiten
que los participantes colaboren entre sí para lograr un uso eficiente y eficaz de las
funcionalidades y recursos de la plataforma SharePoint; lo anterior, en seguimiento a las
mejores prácticas publicadas en la página de Microsoft.

2. GENERALIDADES

OBJETIVO GENERAL Disponer de un marco normativo interno que oriente a los usuarios,
segmento de negocio y personal técnico informático en el uso correcto, publicación de
contenido, mantenimiento, administración del control de accesos y ciclo de vida de contenidos
del Portal Digital, basado en las mejores prácticas internacionales para el gobierno y la gestión
de portales de información implementados con tecnología SharePoint.

3. OBJETIVOS ESPECÍFICOS

a. Establecer controles para la sostenibilidad del Portal Digital de la empresa y sus

contenidos, que permita una evolución de manera ordenada, estandarizada;
garantizando la armonía entre los distintos sitios o subsitios del PD.
b. Proveer un marco normativo que evite la duplicidad de contenidos en sitios y subsitios,
que procure la eficiencia en la gestión de los recursos destinados al PD y facilidad de
ubicación para los usuarios de las publicaciones.
c. Brindar al Departamento de Tecnología y Comunicaciones (TYC) un marco de trabajo
para atender los requerimientos de cambio y mantenimiento del PD.
d. Documentar las funciones y responsabilidades de los usuarios y administradores del
PD.

4. TERMINOLOGIA

Para los fines de la presente norma se entenderá por:

ADDS: Servicio de autenticación de usuarios a través del directorio activo de Microsoft que
opera en el BCH
Grupo de Usuarios: Es una colección de usuarios que tienen el mismo conjunto de permisos
para los sitios y el contenido, en lugar de asignar permisos a una persona a la vez, se pueden
usar grupos para asignar convenientemente el mismo nivel de permisos a muchas personas a la
vez.
Portal Digital (PD): Plataforma web para la publicación de contenidos al público en general, la
cual se encuentra implementada sobre la plataforma SharePoint. El portal esta implementado en
cuatro (4) ambientes, desarrollo, prueba, producción y contingencia.

Perfil: Conjunto de roles en los cuales se encuentra incluido un usuario.

SharePoint: Plataforma de colaboración y gestión de contenidos formada por productos y
elementos de software que incluye funciones basadas en navegadores web, módulos de
administración de procesos, módulos de búsqueda e interfaz de administración de documentos.
Usuario: Persona contratada de forma permanente, dentro o fuera de categoría
(funcionario/empleado), o temporal (supernumerario) que tiene relación contractual con el
BCH.
Webmaster: Analista del Centro de Servicios Tecnológicos, u otro personal adscrito a la
División de Servicios Tecnológicos, responsable de la operatividad, programación y
mantenimiento del Gestor de Contenidos.

5. ALCANCE

La presente norma es de observancia y cumplimiento obligatorio para todos los funcionarios,

empleados permanentes y supernumerarios de esta empresa.

6. DISPOSICIONES GENERALES

El PD es el medio oficial de comunicación entre la empresa y todos los visitantes o usuarios de

información; es decir que toda publicación realizada a través del PD será considerada oficial. En
observancia a esto, todo usuario que cuente con el perfil establecido para publicar contenido a
través del PD deberá contar con la autoridad o autorización para realizarlo.

7. ADMINISTRACIÓN DE ROLES, PERFILES Y LA SEGURIDAD

Los roles que pertenecen al segmento de administración se detallan a continuación:

No. Rol/Grupo de Nivel Nivel de Permiso Propósito

de Usuario
1 Propietario del Sitio
2 Integrantes
3 Visitantes
Control total Puede agregar, editar, eliminar y
actualizar contenidos, y brindar
acceso a los usuarios.
Edición
Puede agregar, editar, eliminar y
actualizar contenidos.
Solo Lectura Puede ver páginas y elementos de
lista y descargar documentos.

La estructura de grupo de usuario definida como base debe configurarse en todos los sitios y
subsitios. Todo grupo de usuario de preferencia debe tener un mínimo de dos (2) miembros, el
número máximo debe definirse por el propietario del sitio, en atención a las necesidades de cada
dependencia.
7.1 La creación de nuevos niveles de permiso debe someterse a consideración del segmento
de TI; el cual, en caso de requerirlo, analizará la factibilidad o viabilidad de la inclusión
del nuevo nivel de permiso. La solicitud de nuevos niveles de permiso debe realizarse
por medio de los canales de comunicación habilitados por el Departamento de
Tecnología y Comunicaciones {TYC) en seguimiento a los procesos vigentes.

7.2 Todo funcionario o empleado accederá al Gestor de Contenidos utilizando su usuario y

contraseña de ingreso, también llamadas credenciales de ADDS de conformidad a lo
dispuesto en la "Norma para la Gestión de Accesos Lógicos" vigente. Asimismo, no
 está permitido el uso de cuentas departamentales o grupales para acceder al Gestor de
Contenidos.

7.3 Las dependencias de la empresa son responsables de reportar fallas, anomalías, errores
y advertencias que se presenten en el uso del Gestor de Contenidos al Departamento de
TYC, por medio de una solicitud de servicio a través de los diferentes canales de
comunicación que estén habilitados.

7.4 Es responsabilidad de cada Propietario de Sitio realizar inspecciones periódicas a los

usuarios asignados a los roles, con el objetivo de depurar y dar de baja a aquellos que
no se encuentren asociados al sitio.

7.5 En el caso de cambio de personal o reasignación de los permisos, es responsabilidad del

propietario de sitio, garantizar y gestionar que se realice la capacitación del personal
que asume el nuevo rol en la plataforma, a fin de velar por el cumplimiento de los
lineamientos establecidos en esta norma.
HERRAMIENTAS