PÓLITICA DE SEGURIDAD DE LA INFORMACION.

PACO SOLUCIONES TECNOLÓGICAS S.A.S., ubicada en el municipio de Medellín (Ant.),

representada por la Gerencia, se compromete a cumplir con las disposiciones
constitucionales, contractuales, legales y reglamentarias relacionadas con la seguridad de
la información, además de preservar en todo momento la seguridad de la información
como parte de la mejora continua, apoyando el logro de sus objetivos y el cumplimiento
de los compromisos organizacionales con la confidencialidad de la información, el manejo
y divulgación adecuada de la información.
La alta dirección se compromete a brindar las herramientas necesarias para que sus
empleados y contratistas cumplan con los lineamientos de la seguridad de la información.
La Organización se compromete a cumplir con los requisitos especificados en la ISO
27001:2013, y a gestionar cada oportunidad que se presente como marco de referencia
para mejorar continuamente.
La Organización se compromete a cumplir con los requisitos especificados en la ISO
27001:2013, y a gestionar cada oportunidad que se presente como marco de referencia
para mejorar continuamente.
POLITICA CONTROL DE ACCESO A LA INFORMACIÓN.

La organización implementa medidas y acciones de seguridad necesarias con el fin de

evitar la pérdida, adulteración, consulta, fuga acceso o uso no autorizado, basándose en el
principio del menor privilegio.

Condiciones generales de control de acceso a la información - gestión de acceso a

usuarios.

El responsable de la seguridad de los sistemas de información, establece procedimientos

formales para controlar la asignación de perfiles, roles y derechos de acceso de los
usuarios. Dichos procedimientos deben cubrir todas las etapas del ciclo de vida de los
usuarios (registro inicial, roles, eliminación, desactivación, etc.).

Condiciones generales de control de acceso a la información - registro de usuarios.

Todos los usuarios deben tener una identificación personal (usuario y contraseña) que se
utilizara para cada servicio con sus privilegios asignados. Es decir, que el usuario dispone
de una contraseña para cada servicio.
Se debe verificar que el nivel de acceso otorgado al usuario sea adecuado de acuerdo a su
cargo y funciones.

Enero 20212022
 Condiciones generales de Control de Acceso a la Información - Responsabilidades del
usuario.

Todos los usuarios son conscientes de sus responsabilidades con relación al uso y manejo
de contraseñas.
El encargado de la seguridad de los sistemas de información implementa los
procedimientos necesarios que permitan controlar los procesos de creación, modificación,
eliminación de usuarios, gestión de contraseñas y permisos de acceso a los recursos de la
red.
El personal tanto interno como externo que ingrese a las instalaciones de la empresa es
consciente de las condiciones de acceso para mantener total confidencialidad en el uso de
sus contraseñas personales.

cCondiciones generales de Control de acceso a la red.

La organización proporciona a sus colaboradores el acceso a los servicios de red

únicamente al personal autorizado y de acuerdo a sus privilegios.
La organización utiliza métodos apropiados de autenticación para el control de acceso
remoto y redes inalámbricas de los usuarios que lo soliciten.

Condiciones generales de control de acceso a las aplicaciones.

Todos aquellos programas utilizados por los usuarios que puedan comprometer los
controles implementados son restringidos y estrictamente intervenidos.
Las sesiones inactivas son bloqueadas automáticamente después de un tiempo de
inactividad determinado con el fin de evitar accesos no autorizados.
El personal de la organización es consciente de cambiar las contraseñas predeterminadas
después de la instalación de una aplicación.

POLITICA DE ACTIVOS DE INFORMACIÓN

NORMAS

Responsabilidad de los Activos de Información

Se identifican los activos de información de mayor importancia asociados a cada sistema

de procesamiento de la información en su respectivo proceso, con sus responsables y su
ubicación, para luego elaborar un inventario con dicha información.

El iInventario se deberá identificar, documentar y actualizar ante cualquier modificación

de la información y los activos asociados con los medios de procesamiento. Este debe ser
revisado con una periodicidad no mayor a un (1) año.

Enero 20212022
La responsabilidad de realizar y mantener actualizado el inventario de activos de
información es de cada responsable de cada uno de los procesos de la organización, del
Coordinador de Seguridad de la Información.
El uso de los activos de información pertenecientes a la organización es responsabilidad
del propietario asignado; es su deber proteger y mantener la confidencialidad, integridad
y disponibilidad de los activos de información.

Uso aceptable

Para la Clasificación de la Información se debe tener en cuenta los criterios de

Confidencialidad, Integridad y Disponibilidad.

Definición de los criterios de clasificación de la información:

 USO PÚBLICO:
Información que por sus características puede o debe estar a disposición de cualquier
persona sea empleado o no. Dentro de esta clasificación se puede considerar: noticias,
informes de prensa, información de rendición de cuentas, información sobre trámites,
normatividad, etc.

 USO INTERNO:
Información cuya divulgación no causa daños serios a la organización y su acceso es
libre para los funcionarios a través de la intranet o de cualquier otro medio.
 USO CONFIDENCIAL:
Información cuya divulgación no autorizada puede afectar considerablemente el
cumplimiento de la misión de la organización. La divulgación de esta información,
requiere de la aprobación de su respectivo propietario.
En el caso de terceros rige el acuerdo de confidencialidad que exista entre ambas
partes.
 USO SECRETO:
Información que sólo puede ser conocida y utilizada por un grupo muy reducido de
funcionarios, generalmente de la Alta Dirección de la organización, y cuya divulgación
o uso no autorizados podría ocasionar graves pérdidas al mismo, a contratistas o a
terceros.
Sólo el funcionario Responsable de la Información puede asignar o cambiar su nivel de
clasificación, cumpliendo con los siguientes requisitos mínimos:

 Comunicárselo al responsable del almacenamiento donde se encuentre el

Activo de Información.

Enero 20212022
Etiquetado y Manejo de la Información:

Se deben desarrollar procedimientos para el etiquetado y manejo de la información, de

acuerdo al esquema de clasificación definido por la organización. Los mismos
contemplarán los activos de tecnología de la información tanto en formatos físicos, digital,
activos tecnológicos.

Etiquetado: Identificación del tipo de calificación que se le da a la información, en dado

caso que la información no este etiquetado se entiende que es información pública.

PROPIEDAD INTELECTUAL/ CONFIDENCIALIDAD:

Objetivo: Evitar violaciones de las obligaciones legales, estatutarias, de reglamentación o

contractuales relacionadas con seguridad de la información y de cualquier requisito de
seguridad.

Los trabajadores y las personas que participen en investigaciones, y/o actividades que la
organización desarrolle, están obligados a guardar la debida confidencialidad, reserva y/o
secreto respecto de toda la información, materiales, resultados y productos que conozcan
con motivo de ello y que pudieren derivar en el desarrollo de bienes, servicios u otros
intangibles susceptibles de ser protegidos mediante derechos de propiedad intelectual.

En consecuencia, deberán abstenerse de divulgar, poner en conocimiento, comunicar o

exponer a terceros toda información relativa a investigaciones, invenciones o creaciones
realizadas bajo cualquier objetivo, incluso académico o científico, si ello pudiere
comprometer la obtención de un derecho de propiedad intelectual.

En caso de ser necesaria la entrega o revelación de información confidencial o sensible a

personas naturales o jurídicas ajenas a la organización, deberá notificarse a quién
solicitará la suscripción de los correspondientes convenios de confidencialidad, para así
resguardar los derechos de Propiedad Intelectual que recaigan sobre la información
revelada en cada caso en particular.

POLÍTICA DE SEGURIDAD FÍSICA Y DEL ENTORNO.

Seguridad Perimetral:

 Todas las áreas que tienen servicios de procesamiento de información deben

identificar claramente sus perímetros de seguridad por medio de elementos tales
como paredes, puertas de acceso, etc.

Enero 20212022
  En los sitios que contengan servicios de procesamiento de información se deben
implementar mecanismos robustos físicamente (por ejemplo, cerraduras, barras,
alarmas, sistemas lectores de tarjeta, Lector de huellas, muros, puntos de acceso
con vigilancia humana) aplicables para prevenir el acceso no autorizado.
 Las puertas y ventanas deberían estar cerradas con llave cuando no están
atendidas.
 Todas las puertas de incendio en el perímetro de seguridad de la OTI deberían
tener alarma, monitorearse y funcionar de manera segura de acuerdo con el
código local de incendios.

 Se cuenta con sistema de monitoreo (cámaras de vigilancia) para las instalaciones

Seguridad de Oficinas, Recintos e Instalaciones

 Cuando sea posible las instalaciones deberían ser discretas y no tener indicaciones
sobre su propósito, sin señales obvias que identifiquen la presencia de actividades
de procesamiento de información.
 Los directorios y listados telefónicos internos que indican la ubicación de servicios
de procesamiento de información sensible no deben ser de fácil acceso al público.
 Los equipos y dispositivos que son utilizados para soportar las funciones críticas del
negocio, deben estar en un área de acceso restringido.
Protección contra Amenazas Externas

 El papel y los combustibles deben ser almacenados en lugares aislados en

contenedores y en pequeñas cantidades.
 Instalar en el área un equipamiento apropiado de seguridad: sistemas de extinción
de incendios; salidas de emergencia, cableado, equipamiento de extinción de
incendios, etc.

POLITICA USO ACEPTABLE DE LOS ACTIVOS

Todos los trabajadores, consultores, contratistas y terceras partes, que usen activos de
información que sean propiedad de la organización, son responsables de cumplir y acoger
con integridad la política de uso aceptable de activos para dar un uso adecuado a los
recursos asignados.

Se encuentra expresamente prohibido el acceso a la red, a Internet o al correo electrónico

de la organización a toda otra persona ajena a la empresa, excepto expresa autorización
de un funcionario, en cuyo caso caerá bajo su responsabilidad toda consecuencia
generada por un mal procedimiento.

Enero 20212022
Reglas generales

 Utilizar los activos de información, siempre que tengan relación directa con la
función que se desempeña.
 El equipamiento informático en general será de uso exclusivo del trabajador al le
fuera asignado.
 Los trabajadores, consultores y/o contratistas deberán utilizar el espacio en red,
correo electrónico y los servicios de impresión únicamente para cumplir con
requerimientos inherentes a su función.
 Evitar toda práctica que pueda dañar los sistemas informáticos y la información
como activo de la organización, como, por ejemplo, aquellos que puedan dar lugar
a ataques de virus cuando se recuperen archivos de Internet.
 Los usuarios deben tomar conciencia que las direcciones de correo electrónico, las
direcciones IP, los nombres de dominio y demás recursos pertenecientes a la
organización, constituyen bienes intangibles de valor económico de propiedad de
la mismo, y que por lo tanto la utilización de estos activos será considerada como
realizada en su representación. Es indispensable que no se utilice Internet para
propósitos que puedan influir negativamente en la imagen de la organización o de
sus representantes.

Condiciones generales para la navegación en internet.

La empresa realiza campañas de concientización dirigidas a todos los usuarios que
navegan por internet para garantizar que las personas estén informadas sobre los peligros
que conlleva descargar archivos de Internet (malware, troyanos, spyware y atacantes
externos), acceder a sitios desconocidos, de baja confianza y aceptar cualquier mensaje
que busque instalar software que brinde el navegador.

La empresa busca garantizar de manera técnica que se controle y limite el acceso a todos
los sitios web que puedan afectar la productividad de la organización, la seguridad de su
información o su personal, de igual manera se prohibirá el uso de servicios interactivos,
redes sociales o mensajería instantánea como Facebook, twitter, ares, Whatsapp
Messenger, Skype o similares durante la jornada laboral, de no acatarse será valorado
como una conducta anti-ética.

Los usuarios se comprometen a no visitar sitios web restringidos por la empresa de

manera explícita o implícita, o sitios que afecten la productividad y el rendimiento de la
misma. Así mismo, está prohibida la descarga y uso de cualquier software malicioso o
documentación que brinden información sobre como perjudicar o atentar contra la
seguridad de la información.

Enero 20212022
Los empleados se comprometen a no brindar cualquier tipo de información de la empresa
en sitios no autorizados o acceder a sitios que puedan comprometer la seguridad del
equipo.
Los usuarios de la organización se comprometen a no descargar y/o utilizar archivos de
sonido, imagen o similares que puedan estar protegidos por derechos de autor sin una
previa autorización de los mismos. Igualmente, no deben descargar ningún tipo de
software de Internet bajo ninguna circunstancia.

El personal de la organización se compromete a no instalar ningún tipo software en sus

equipos o en otras máquinas, incluso si el software es de código abierto; la única persona
autorizada para instalar software es el analista de sistemas.
El software proveniente de sitios de almacenamiento en la nube no debe ser descargado a
ningún equipo de la empresa a menos que sea recibido directamente de una fuente
confiable y que se hayan empleado herramientas de detección de código malicio como un
antivirus.

Los usuarios que utilizan sistemas de navegación son conscientes que estos son utilizados
para propósitos meramente lícitos y en cumplimiento de las funciones específicas de su
cargo.

La empresa facilita el acceso a plataformas para comercio electrónico, transacciones

bancarias, pago de facturas y el acceso a correos personales, pero no asume ninguna
responsabilidad por el uso de estas, ni recomienda su uso dentro de la organización,
además prohíbe la participación en cualquier foro de discusión o chats.

Condiciones generales para el uso del correo electrónico.

El personal de la organización no puede emplear direcciones de correo electrónico
diferentes a las cuentas corporativas que han sido suministradas por la organización.
Todos los mensajes de correo electrónico que utiliza el personal de la empresa, contienen
el logo de la empresa, nombre y apellidos del remitente, cargo, dirección de la empresa,
número telefónico, extensión, dirección web, aviso de confidencialidad y de tratamiento
de datos personales.
Los usuarios no pueden contribuir a la creación de un ambiente de trabajo hostil ni crear,
enviar o reenviar correos electrónicos que fomenten el acoso laboral.
Los empleados no pueden enviar o crear cualquier tipo de mensaje que pueda ser
considerado difamatorio, acosador (laboral o sexual) o que pueda ofender a las demás
personas con base en su raza, nacionalidad, género, orientación sexual, discapacidad,
religión o política.
El personal es consciente de no utilizar en ningún caso los servicios y sistemas de la
empresa para la transmisión de correos masivos no autorizados.
El personal de la empresa es consciente de no utilizar versiones digitalizadas de sus firmas
adjunto a los mensajes de correo electrónico.

Enero 20212022
El personal es consciente de no abrir archivos, documentos o imágenes que se encuentren
adjuntos a los correos electrónicos, a menos que hayan sido analizados posteriormente
por el software antivirus aprobado por la empresa.
El personal de la organización es consciente de no abrir correos electrónicos cuyos
remitentes son extraños, ofrecen premios o poseen enlaces para redireccionar a otros
servicios.
Se consideran los siguientes correos como sospechosos y deben reportarse al personal del
departamento de Sistemas para su validación:

 Se solicita proporcionar el nombre de usuario o contraseña u otro dato personal,

datos de cuenta bancaria, número de tarjeta de crédito.
 Se solicita ingresar a un sitio web para actualizar datos personales de correo
electrónico, redes sociales, datos del banco, etc.
 Se solicita descargar e instalar un archivo que dice contener una notificación o
multa de la empresa.
 Se ofrecen premios actualizando datos o descargando y ejecutando archivos.
 Ofertas de empleo donde el usuario nunca ha iniciado sesión.

Condiciones generales para el uso de herramientas que comprometen la seguridad.

Se prohíbe intentar realizar sin permiso del administrador del sistema o autorización
expresa por la organización, cualquiera de los siguientes actos:
 Acceder al sistema o red (acceso indebido o forzado, engañando sistemas de
autenticación, etc.).
 Monitorear datos o tráfico de red.
 Utilizar herramientas de hacking o accesos al Firewall.
 Atentar contra la vulnerabilidad del sistema o de las redes.
 Violar las medidas y políticas de seguridad.

La única persona autorizada para utilizar herramientas que permitan recuperar,

restaurar o monitorear eventos específicos de los sistemas es el analista de sistemas.

Condiciones generales para recursos compartidos.

El administrador de sistemas es el encargado de establecer e implementar la

configuración de acceso a las carpetas de red.

 El usuario que dispone de un recurso compartido (carpeta de red) es responsable

por las acciones y accesos en dicha carpeta.
 Se deben definir el tipo de acceso y los roles de usuarios sobre las carpetas de red
(lectura, escritura, modificación y borrado).

Enero 20212022
  El acceso a carpetas compartidas se limita a los usuarios que las necesitan y se
encuentra protegida contra apertura.
 Los usuarios que no cuenten con antivirus corporativo no pueden ingresar a los
recursos de la red.

Condiciones generales para el respaldo y protección de la información.

El personal de la organización vela en todo momento por el cumplimiento de los principios

de confidencialidad, integridad y disponibilidad de la información de la empresa y sus
clientes.
La información de la empresa se mantiene disponible a las personas autorizadas en el
momento en que se necesite.
La empresa se encarga de identificar y proponer mecanismos que permitan que las
actividades de respaldo y recuperación de la información sean apropiadas con relación a
costo / beneficio.
Los respaldos o Backups se realizan de acuerdo al procedimiento control registros
“Protección de la información”.
El responsable de seguridad de la información realiza seguimiento a los Backups

POLITICA CONDICIONES GENERALES PARA EL ESCRITORIO ORGANIZADO Y LIMPIO

DURANTE LA JORNADA LABORAL.

Cada usuario es responsable de proteger la información, por lo que es consciente de no

dejar a la vista documentos o datos confidenciales, por ejemplo:

 Nombre de Usuario y Contraseñas

 Resultados de control de calidad
 Listas de Clientes o proveedores
 Formulas maestras
 Números de Cuenta
 Contratos
 Cualquier información que no desea publicar

Antes de abandonar la oficina los usuarios se toman el tiempo necesario para organizar,
guardar y asegurar el material confidencial, información sensible o equipo costos.
Todos los usuarios son conscientes de dejar bajo llave archivadores, cajones y oficinas
antes de abandonar la empresa.

Condiciones generales para el bloqueo de la estación de Trabajo.

Si un usuario no se encuentra frente a su estación de trabajo esta deberá encontrarse con

la sesión bloqueada.

Enero 20212022
Para las ocasiones eventuales donde la estación de trabajo se encuentre desatendida y sin
bloquear, como plan de apoyo la empresa programa el bloqueo automático de la estación
de trabajo
La organización sensibiliza al personal con capacitaciones en el uso del bloqueo de sesión.
Los usuarios son conscientes de bloquear la sesión de su equipo al apartarse de él,
procurando minimizar el tiempo en que la estación de trabajo queda desatendida.

Condiciones generales de protección contra software malicioso.

Los usuarios son conscientes de no descargar software de cualquier sitio o sistema por
fuera de la empresa.
El personal es consciente de no utilizar software descargado u obtenido de internet o
fuera de la empresa, cuya fuente no sea confiable o no haya sido analizado por el
departamento de sistemas en busca de virus y debidamente aprobado para su uso.
Todos los equipos sin excepción cuentan con un antivirus actualizado y licenciado además
los usuarios analizan con el antivirus cualquier archivo que vaya ser descomprimido y haya
sido descargado de internet.
El personal se asegura que todos los archivos estén libres de virus antes de ser enviados
por correo electrónico u otro medio a una entidad externa.
Los usuarios son conscientes de no desarrollar, escribir, copiar, generar, depurar,
almacenar, propagar, ejecutar o intentar introducir cualquier código malicioso que este
diseñado para auto replicarse, dañar o que dificulte el desempeño de cualquier sistema de
la organización.

Condiciones generales de Seguridad en los equipos.

Los servidores que almacenen información confidencial son mantenidos en un ambiente

seguro y contienen al menos las siguientes medidas:

 Controles de acceso a instalaciones y seguridad física.

 Detectores de incendio y sistemas de extinción.
 Controles de humedad y temperatura.
 Sistemas eléctricos regulados (UPS).

Los usuarios son conscientes de no alojar información de la organización en servidores

externos o gratuitos sin una debida aprobación (escrita o correo electrónico) por parte del
departamento de sistemas.
Los equipos más importantes de comunicaciones deben ser alimentados por UPS y
conectados a una corriente regulada para evitar interrupciones eléctricas.

Condiciones generales para el respaldo y protección de la información.

Enero 20212022
El personal de la organización vela en todo momento por el cumplimiento de los principios
de confidencialidad, integridad y disponibilidad de la información de la empresa y sus
clientes.
La información de la empresa se mantiene disponible a las personas autorizadas en el
momento en que se necesite.
La empresa se encarga de identificar y proponer mecanismos que permitan que las
actividades de respaldo y recuperación de la información sean apropiadas con relación a
costo / beneficio.
Los respaldos o Backup se realizan de acuerdo al procedimiento control registros
“Protección de la información”.
El responsable de seguridad de la información realiza seguimiento a los Backups

Condiciones generales para el escritorio organizado y limpio durante la jornada laboral.

Cada usuario es responsable de proteger la información, por lo que es consciente de no

dejar a la vista documentos o datos confidenciales, por ejemplo:

 Nombre de Usuario y Contraseñas

 Resultados de control de calidad
 Listas de Clientes o proveedores
 Formulas maestras
 Números de Cuenta
 Contratos
 Cualquier información que no desea publicar

Antes de abandonar la oficina los usuarios se toman el tiempo necesario para organizar,
guardar y asegurar el material confidencial, información sensible o equipo costos.
Todos los usuarios son conscientes de dejar bajo llave archivadores, cajones y oficinas
antes de abandonar la empresa.

Condiciones generales para el bloqueo de la estación de Trabajo.

Si un usuario no se encuentra frente a su estación de trabajo esta deberá encontrarse con

la sesión bloqueada.
Para las ocasiones eventuales donde la estación de trabajo se encuentre desatendida y sin
bloquear, como plan de apoyo la empresa programa el bloqueo automático de la estación
de trabajo
La organización sensibiliza al personal con capacitaciones en el uso del bloqueo de sesión.
Los usuarios son conscientes de bloquear la sesión de su equipo al apartarse de él,
procurando minimizar el tiempo en que la estación de trabajo queda desatendida.

Condiciones generales de protección contra software malicioso.

Enero 20212022
Los usuarios son conscientes de no descargar software de cualquier sitio o sistema por
fuera de la empresa.
El personal es consciente de no utilizar software descargado u obtenido de internet o
fuera de la empresa, cuya fuente no sea confiable o no haya sido analizado por el
departamento de sistemas en busca de virus y debidamente aprobado para su uso.
Todos los equipos sin excepción cuentan con un antivirus actualizado y licenciado además
los usuarios analizan con el antivirus cualquier archivo que vaya ser descomprimido y haya
sido descargado de internet.
El personal se asegura que todos los archivos estén libres de virus antes de ser enviados
por correo electrónico u otro medio a una entidad externa.
Los usuarios son conscientes de no desarrollar, escribir, copiar, generar, depurar,
almacenar, propagar, ejecutar o intentar introducir cualquier código malicioso que este
diseñado para auto replicarse, dañar o que dificulte el desempeño de cualquier sistema de
la organización.

Condiciones generales de Seguridad en los equipos.

Los servidores que almacenen información confidencial son mantenidos en un ambiente

seguro y contienen al menos las siguientes medidas:

 Controles de acceso a instalaciones y seguridad física.

 Detectores de incendio y sistemas de extinción.
 Controles de humedad y temperatura.
 Sistemas eléctricos regulados (UPS).

Los usuarios son conscientes de no alojar información de la organización en servidores

externos o gratuitos sin una debida aprobación (escrita o correo electrónico) por parte del
departamento de sistemas.
Los equipos más importantes de comunicaciones deben ser alimentados por UPS y
conectados a una corriente regulada para evitar interrupciones eléctricas.

POLÍTICA DE USO E INSTALACIÓN DE SOFTWARE

En la organización los procesos misionales y de apoyo requieren

recursos de software para su desarrollo. Se requiere una política que determine un
contexto para la definición del proceso de adquisición, uso, mantenimiento, capacitación y
terminación del ciclo de vida del software, para una buena Gestión de Tecnologías de la

Enero 20212022
Información y Comunicación que atienda los requerimientos de:
• Consolidar las necesidades institucionales en materia de software a corto, mediano y
largo plazo.
• Racionalizar y exponer la inversión total que la organización realiza en este tipo de
recursos.
• Valorar los activos de software institucionales.
• Optimizar los procesos específicos relacionados con las adquisiciones.
• Tener conocimiento sobre distribución y uso.
• Obtener uniformidad, facilidad de gestión, mantenimiento y soporte.
• Estandarizar el software según especificaciones y criterios uniformes.
• Gestionar el uso de Software Libre y Licenciados.
• Orientar la adopción y desarrollo de software mediante una política alineada con la
Misión y Visión de la organización y sus planes de desarrollo.
Es importante conocer el impacto y valor que añade el software en las actividades
administrativas y técnicas de la organización, así mismo orientar su uso, potenciando
con eficiencia su aprovechamiento en los procesos institucionales y de apoyo.
Es necesario tener en cuenta el ciclo de vida del software y el uso limitado lo cual se debe
a los siguientes factores:
• Rápida obsolescencia tecnológica.
• Subutilización por destinaciones no acordes a las necesidades.
• Falta de capacitación y actualización al usuario.
• Carencia o necesidades no identificadas o no atendidas de forma correcta.
La disponibilidad de software en diversas formas de licenciamiento se convierte en un
factor que, analizado adecuadamente, puede llegar a presentar oportunidades de
reducción de costos. Para esto es necesario la evaluación rigurosa de su beneficio
económico, la difusión de uso con capacitaciones y actualizaciones, y el impacto en la
aceptación y cultura organizacional.

Enero 20212022
Finalmente, la orientación estratégica que provee una política y sus mecanismos definidos
permitirán consolidar, conocer y potenciar el aprovechamiento de estos recursos, al
tiempo que reafirma el manejo de respeto a los derechos de autor y precisa los controles
para el licenciamiento legal y ético reconocido en la industria y el país.
1. TÉRMINOS Y DEFINICIONES
Licencia de Software: Contrato por el cual un autor o titular de los derechos de
patrimoniales de un software (programa informático y recursos asociados), autoriza al
usuario (persona natural o jurídica) para utilizar dicho software y sus recursos
asociados; cumpliendo una serie de términos y condiciones. Las licencias de software
adquiridas por la organización, además de definir el tipo de software, también puede
definir elementos tales como:
• Obsolescencia: En proceso de obsolescente (obsoleto).
• Plazo: La duración en el tiempo durante la cual se mantienen vigentes los términos
y condiciones establecidas en licencia, que pueden ser: (1) Licencias con plazo
específico. (2) Licencias de plazo indefinido. (3) Licencias sin especificación de
plazo.
• El uso del software: Licencias de instalación en servidor y uso de usuario final por
concurrencia, Licencias cliente servidor y Licencias para uso de acceso web.
• Usuario: Todos los miembros de la organización, incluyendo invitados que utilicen
cualquier software adquirido o autorizado por la institución.
• Código Fuente: Texto escrito de acuerdo a las reglas sintácticas, semánticas y
gramaticales de un lenguaje de programación de computadores y que puede ser
utilizado para que dichos dispositivos realicen un conjunto de tareas de interés para
el usuario.
• Tipos de Software: De acuerdo a la capacidad que otorguen las licencias al usuario
se pueden clasificar como:
Software de código abierto: Se considera un software de código abierto cuando

Enero 20212022
es distribuido bajo una licencia que permite su uso, modificación y redistribución.
Esto permite estudiar el funcionamiento del programa y efectuar modificaciones
con el fin de mejorarlo y/o adaptarlo a algún propósito específico. Sin embargo,
para ser considerado como licencias de código abierto deben cumplir con los
siguientes requisitos: a) debe permitirse la libre redistribución del software, b) el
código fuente debe estar disponible, c) debe permitirse la modificación del
software y la creación de programas derivados. d) debe garantizarse la integridad
del programa original, e) debe permitirse el uso del software para cualquier fin. i)
la licencia no debe aplicar restricciones sobre otros programas.
- Software libre: Se considera que una obra de software es libre cuando la
licencia por la cual se distribuye exalta los valores de la libertad y garantiza que el
usuario: (1) puede utilizar la obra de software para cualquier propósito, (2) puede
distribuir el programa a otros usuarios, (3) tiene acceso al código fuente y puede
modificarlo, (4) puede distribuir el programa modificado.
- Software de dominio público: El Software de dominio público es aquel cuyos
derechos patrimoniales pertenecen a la comunidad y pueden ser utilizados sin
ningún tipo de restricción. Algunos tipos de copia o versiones modificadas
pueden no ser libres si el autor impone restricciones adicionales en la
redistribución del original o de trabajos derivados.
- Freeware: Software que permiten el uso libre, la redistribución, pero no la
modificación.
- Shareware: Tipo de software que es distribuido de forma gratuita exclusivamente
para ser probado, pero con restricciones en su funcionalidad o disponibilidad.
- Software propietario: Aquel cuya copia, redistribución o modificación están
restringidas por el propietario de los derechos de autor.
- Software de evaluación: Software propietario con una licencia que otorga un
plazo de uso reducido, usualmente inferior a tres meses y tiene como objetivo

Enero 20212022
principal que el usuario evalúe la funcionalidad del software antes de realizar la
compra.
2. ALCANCE
La presente política de uso e instalación de software de la organización, en adelante
referida como la Política, se aplica a todos los procesos de adquisición, desarrollo, uso,
mantenimiento, terminación del ciclo de vida y renovación de cualquier tipo de software
instalado o proyectado para el uso de la organización.
La política debe ser atendida por todos los usuarios de equipos de cómputo que
pertenezcan a la organización o sean utilizados en nombre de ella, de tal forma que se
utilice software que garantice el cumplimiento de los requerimientos, la austeridad y la
conformidad legal nacional e internacional, en especial la protección de la propiedad
intelectual y los derechos de autor.
El propósito de esta política es definir las pautas para el uso de software en la
organización, incentivando su mejor aprovechamiento, la búsqueda de alternativas de
mejor relación costo-beneficio, el aseguramiento de la calidad y el desarrollo de
aplicaciones que soporten los procesos institucionales y de apoyo, incluyendo los
proyectos realizados en el ámbito de la docencia, la investigación, la extensión y la
cooperación en el marco de la protección de los derechos de autor según la voluntad
expresa de cada uno de los participantes.
3. PRINCIPIOS
Conforme a los principios consagrados en el Política de Desarrollo
De la organización (PDP), donde el soporte es la Tecnología de Información y
Comunicación.
La Política define los siguientes principios:
3.1. Adopción de Software acorde a las necesidades. La organización como ente
autónomo comprometido con el desarrollo social, cultural, tecnológico e
investigación; considera a las Tecnologías de la Información y Comunicación

Enero 20212022
desde múltiples enfoques y se convierte en escenarios de construcción colectiva
que sirven tanto para la satisfacción de las necesidades internas, como para la
formulación de modelos que puedan ser aplicados en otros contextos. En este
sentido, es principio de la Política el análisis crítico, riguroso y adaptado a las
necesidades, en los procesos relacionados con la adopción y uso de software por
parte de la organización tales como: adquisición, gestión, administración y uso del
software. Así mismo el software adquirido, recibido o desarrollado por la organización
debe hacer explícito el conjunto de procesos institucionales que va a apoyar.
3.2. Respeto al derecho de autor. Todo software instalado y utilizado en los equipos
de propiedad de la organización o aquellos utilizados en nombre de ella, debe
cumplir con los principios institucionales, los acuerdos nacionales e internacionales
y la legislación nacional vigente sobre derechos de autor, y en todo caso está
sujeto al respeto de los derechos o voluntad expresada por el autor en
documentos físicos o digitales de licenciamiento.
3.3. Acatamiento de la licencia de software. Toda instalación de software en los
equipos de cómputo debe ser realizada a partir de fuentes obtenidas legalmente
con la autorización de su autor expresada según el modo y vigencia de
licenciamiento. Todo programa de software recibido, adquirido o desarrollado con
recursos de la institución debe ser utilizado según los términos de su licencia.
3.4. Software como activo institucional. La organización debe mantener como
mínimo un repositorio e inventario centralizado, así como un sistema de respaldo y
copias de seguridad que garantice el conocimiento, disponibilidad, integridad y
gestión eficiente de los activos de software. Todo usuario responsable de equipos
de cómputo debe conocer, y tener a disposición la información de licenciamiento
del software en uso de los equipos.
El software, como cualquier otro activo, deberá estar asociado al inventario del
responsable del equipo de cómputo o del responsable de las dependencias

Enero 20212022
especializadas en la gestión de TI cuando se trate de programas de ámbito
institucional.
3.5. Seguimiento de los activos de software. La organización debe tener un
inventario actualizado de activos de software, protegido por parte de los miembros
de la organización.
3.6. Inversión en activos de software alineados con los objetivos institucionales.
Todo programa o proyecto de software solicitado para uso e instalación en equipos
de cómputo, bien sea para ser desarrollado u obtenido por cualquiera de los
modos de licenciamiento aceptados, estará sujeto a aprobación y autorización de
uso, las cuales serán definidas siguiendo el principio de mayor beneficio en
extensión y eficiencia de utilización por la organización teniendo en
cuenta su misión, visión, principios y política de desarrollo de la organización.
3.7. Apoyo al desarrollo interno de software de calidad. Todo programa de software
propuesto para desarrollar con recursos de la Universidad, deberá pasar por un
proceso de estudio de factibilidad, las cuales serán confrontadas en su fase inicial,
frente a otras alternativas de solución disponibles en el mercado, y en el caso de
necesidad de dirimir entre estas alternativas, se dará preferencia al desarrollo
interno siempre y cuando se cumplan condiciones técnicas y se apliquen métodos
de desarrollo aprobados por la organización. La autorización del uso externo de
software desarrollado será dada expresamente mediante licenciamiento otorgado
directamente por la Universidad a través de quién se designe para ello. Todo
programa de software desarrollado debe ser registrado en la entidad competente
para validar los derechos de autor que le corresponden a la organización.
3.8. Fomenta el Software Libre. lLa organización fomenta el uso de Software Libre
debido a que su licencia reafirma los principios y el carácter comercial. Este tipo
de software respeta la libertad del usuario, facilita la transferencia de conocimiento
y se fundamenta en la solidaridad y la democratización del acceso al conocimiento.

Enero 20212022
Con la libertad se garantiza que se pueda adoptar el Software Libre de acuerdo a
sus objetivos de la organización. la organización apoya y fomenta a grupos de trabajo y
grupos de investigación cuyos objetivos están directamente relacionadas con la
apropiación, uso, desarrollo, capacitación y difusión del Software Libre y su
filosofía.
4. APLICACIÓN
La entrada en vigencia, aplicabilidad y controles generales que se describen en los
siguientes ítems atienden las necesidades, detallan el alcance y desarrollan los
principios enunciados en la presente política:
4.1. Vigencia: La Política entrará a regir a partir de la fecha de aprobación. Las áreas
de control, con el apoyo y asesoría de Sistema de Información y Comunicación
(SIC) y División de Sistemas (DISI), deberán realizar seguimiento y auditorías de
verificación del cumplimiento de la Política.
4.2. Mejoramiento: Para garantizar que responde efectivamente a la dinámica
institucional, la Política debe ser revisada anualmente por parte del SIC y DISI. La
versión actualizada debe ser mantenida por DISI, quien debe disponer de un
mecanismo adecuado que permita su difusión y acceso por parte de la organización. Los
interesados en la mejora de la Política deben realizar las
recomendaciones o sugerencias al SIC y DISI, donde se evaluará y decidirá sobre
la actualización de la política para responder a las nuevas necesidades.
4.3. Casos excepcionales y de no aplicación de la Política: Serán tratados y
especificados por el SIC y DISI, quiénes deben disponer de un mecanismo
adecuado que permita la difusión y acceso por parte de la organización
a estos casos.
4.4. Competencias: El SIC, DISI, las dependencias o funcionarios designados son los
responsables de definir y actualizar los procedimientos, guías y demás elementos
que conduzcan a la efectiva aplicación de esta política; de aplicar los controles

Enero 20212022
previstos, proponer y tomar las medidas de corrección, y de consolidar los reportes
de información que aseguren el cumplimiento de los objetivos, alcance y las
orientaciones expresadas en la Política.
5. RESPONSABILIDAD Y CONTROL
5.1. La aplicación de la Política, así como el acatamiento de sus principios y
directrices es responsabilidad de todos los usuarios de la organización.
5.2. De acuerdo a las funciones consagradas, corresponde a la Coordinación de
Soporte y Equipamiento Informático (CSIE) avalar y recomendar las
especificaciones técnicas para adquisición de software que planee adquirir la
organización.
5.3. Corresponde a los responsables de los equipos de cómputo, garantizar que
los softwares instalados en los equipos cumplan con los principios y directrices
consagrados en la Política.
5.4. Para optimizar el proceso de adquisición de uso e instalación de software,
DISI será responsable de recibir y validar el trámite de las solicitudes de adopción
y uso de software, según sus necesidades y proyecciones, de acuerdo a los
procesos definidos para tal fin por el SIC y al tipo de Software definido en el
numeral 6.1 de la Política.
5.5. Corresponde a la Coordinación de Soporte y Equipamiento Informático
(CSEI), la custodia del software adquirido por parte de la organización, así como de
la documentación relacionada, incluyendo, pero no limitándose a: licencias,
manuales de usuario originales, certificados de autenticidad, términos de
referencia; o cualquier otro elemento que soporte la propiedad del software o la
licencia de uso por parte de la organización tales como: fuentes originales de
instalación, llaves de protección, mecanismos de autenticación, entre otros. CSEI
debe llevar un inventario para definir los procedimientos que garanticen la gestión
de custodia del software, la documentación y demás elementos asociados. Tales

Enero 20212022
procedimientos deberán estar registrados y guardados en un repositorio.
5.6. Las partes interesadas del uso de software de toda la organización, serán
responsables de verificar, actualizar y entregar la información, que, en cumplimiento
de la Política, deban aportar acerca de los sistemas bajo su responsabilidad y de
tener los registros de control de uso correspondientes.
5.7. Lineamientos de autorización de administración y uso de equipos de cómputo.
Los siguientes lineamientos generales se deben seguir en los procesos de entrega y
de recepción de los equipos de cómputo. La conformidad con la Política se basa en
este control y es eje central de su aplicación:
5.7.1. La declaración de conocimiento y aceptación de la Política, debe ser
parte integral del proceso de entrega al responsable de los equipos de
cómputo.
5.7.2. Debe existir un soporte, o medio de comprobación de la realización de la
transferencia, entrega o autorización de uso de equipos de cómputo y su
conformidad. El medio de comprobación puede ser digital, por horarios
programados en un sistema, mensajes de correo, archivos, claves simples o
llaves de acceso o cualquier otro mecanismo verificable en audio, video,
impreso o escrito.
5.7.3. Debe existir un documento digital o impreso, sistema de información o
cualquier otro mecanismo, que contenga el listado de software disponible y
vigente de los soportes de licenciamiento o cumplimiento de la presente
política, el cual será conocido y accesible por el usuario que recibe bajo su
responsabilidad el uso de equipos de cómputo.
5.7.4. Debe existir un documento de reglamentación que defina los roles
relacionados con la actualización, instalación y administración de licencias,
paquetes o programas de software.
5.7.5. La aplicación de la Política queda completamente establecida, en

Enero 20212022
vigencia, y en conocimiento de los miembros de la organización a
partir del momento en que la persona recibe la autorización de uso de equipos
de cómputo y está limitada al alcance que como usuario o administrador
obtenga sobre dichos recursos, por el tiempo de vigencia de dicha
autorización, y en todo caso hasta que haga entrega física o de acceso lógico
de los respectivos equipos de cómputo a las dependencias competentes.
5.7.6. Los responsables de equipos de cómputo podrán autorizar
temporalmente el uso de los equipos a su cargo a personas que pertenecen a
la organización que estén debidamente identificadas. En este evento, el
responsable de equipos de cómputo debe mantener registro de las
autorizaciones, las cuales podrán expresarse en forma simple a través de
planillas, listados o cualquier otro mecanismo. En ningún caso podrá ser
transferido temporalmente el derecho de administración del sistema o
instalación de software en los equipos de cómputo a otros usuarios.
5.7.7. Todo responsable de equipos de cómputo está en la obligación de exigir la
información del Software instalados en dichos equipos, y de abstenerse a
recibir o utilizar los mismos en caso de incumplimiento de la Política.
6. PROCESOS DE ADOPCIÓN Y USO DE SOFTWARE
Son aquellos que conllevan a la implementación y uso de software con el propósito de
apoyar o ser parte de cualquier proceso institucional o de apoyo de la organización. En
general corresponden al software obtenido como producto en los procesos de:
• Proyectos de desarrollo de software explícitos o en el marco de otros proyectos.
• Adquisiciones explícitas o en el proceso de compras o ejecución de contratos por
terceros.
• Donaciones.
• Licenciamientos globales como: académico y convenios.
• Licenciamientos de software libre o código abierto.

Enero 20212022
• Versiones de prueba, freeware y shareware.
• Disponible como servicio en redes, cualquier otro proceso que conlleve a la
utilización de programas nuevos en equipos de cómputo.
6.1. Tipos de software. Según los procesos en que interviene, se definen los
siguientes:
Tipo I. Software de uso general, comunicaciones y redes.
• Programas de oficina: procesador de texto, hoja de cálculo, software de
presentaciones, bases de datos locales, etc.
• Administradores de correo electrónico.
• Software de lectura de diversos formatos de texto.
• Herramientas de uso general para procesamiento y despliegue de imágenes,
videos, audios y sistemas operativos en equipos de cómputo.
• Software de gestión y monitoreo de redes para uso administrativo.
• Software de comunicaciones para uso administrativo, y que no esté
especificado en los tipos II y III.
Tipo II. Software académico - institucional. Corresponde al software habilitado en
los equipos de cómputo para uso académico o destinado a las prácticas de los
estudiantes, docentes e investigadores de la organización y comprende:
• Software enmarcado en prácticas específicas de asignaturas y planes de
actividades de capacitación.
• Software de uso especializado en trabajos de investigación.
• Software de herramientas para el apoyo de la investigación científica o aplicada
y en la integración o conformación de redes académicas o de investigaciones.
Tipo III: Software de apoyo institucional especializado. Corresponde al software
para uso administrativo, financiero o de procesos específicos de áreas o
dependencias de la organización para el manejo de sus procesos, en respuesta a
requerimientos externos o en la prestación de servicios a sectores o a toda la

Enero 20212022
organización. Comprende entre otros:
• Sistemas de información de apoyo técnico o administrativo
tales como: registro académico, financiero, biblioteca, investigación, y en
general en cualquier área o dependencia, y que se constituyan o puedan llegar
a ser componentes del sistema integrado de información de la organización.
• Programas de uso específico como área jurídica, de gestión documental,
publicaciones, etc.
6.2. Solicitudes de software. En función del tipo de software, los trámites de solicitud
y adopción seguirán los procesos definidos por la DISI; la evaluación de las
solicitudes se realizará con los siguientes responsables:
Tipo I a través de la Coordinación de Soporte y equipamiento informático y la
Coordinación de Redes y conectividad de la DISI.
Tipo II a través de la Coordinación de Servicios TI o gerencia de
investigación según corresponda.
Tipo III a través de DISI.
Toda solicitud de software deberá ser elaborada por los interesados con la
asesoría y control de las áreas, quienes deben verificar la no disponibilidad de tal
activo en el sistema o mecanismo definido para la gestión de inventario de
software institucional. Donde la solicitud de software, después de ser revisado y
validado por el SIC y DISI debe ser aprobado por la gerencia.
Toda solicitud debe estar sustentada de acuerdo a la guía de software mantenida
por la DISI. Dichas guías deben considerar, pero no limitarse a: el estudio de
requerimientos, los estudios de factibilidad, mercado y viabilidad de aplicación
según el alcance de los proyectos del área, sus políticas y orientaciones
específicas, así como el cumplimiento según su modo particular de licenciamiento.
6.3. Terminación de ciclo de vida del software. Un activo de software finaliza su
ciclo de vida cuando su licencia de uso expira, sus características no se adaptan a

Enero 20212022
las necesidades de la organización o por cualquier otra circunstancia que impida su
instalación o uso: robo o deterioro de medios, pérdida de licencia, incapacidad de
autenticación, etc. En cualquier caso, el inventario debe ser actualizado por la
CSEI como custodio del software en la institución; debe realizar los procedimientos
requeridos para que estos activos se descarguen del inventario del responsable e
informando la finalización del uso o del ciclo de vida de software para
disponibilidad de la organización.
6.4. Las áreas responsables de la aplicación de la Política, deben informar a
petición de cualquier área de la organización sobre la adopción, adquisición,
desarrollo, instalación, actualización, estado de uso, y licenciamiento de software
siguiendo las guías que les sean dadas a conocer.
7. ACTUALIZACIÓN DE LOS REGISTROS DE LICENCIAS Y SOFTWARE
La responsabilidad de la actualización de todos los registros de licencias y software
autorizado estará a cargo de CSEI; quien podrá ser apoyada por los responsables
definidos en el numeral 6.2 de la Política. La distribución de tales registros podrá ser
realizada vía escrita, por correo electrónico o cualquier sistema de consulta de
información de acceso a los interesados en correspondencia con lo indicado en el
numeral 6.1 de la presente política.
Los responsables de los equipos de cómputo están en la obligación de mantener
vigente en su sistema o equipo la correspondencia entre la información dada a conocer
y el software efectivamente dado o disponible en dichos equipos. Cualquier diferencia
deberá ser resuelta directamente con el área responsable de la actualización de dichos
registros, a través del responsable del equipo o sistema, y en todo caso primará como
válida la que el responsable directo pueda establecer por ser el titular de uso de los
equipos de cómputo. Cualquier software que no esté conforme a la Política debe ser
desinstalado de los equipos de cómputo. En este evento el responsable de los equipos
de cómputo será acompañado por las áreas responsables definidas en el numeral 6.2.,

Enero 20212022
para que pueda conocer los alcances de esta política e iniciar los trámites de
adquisición, desarrollo o instalación del software que apoye sus procesos. En ningún caso
se podrá realizar una desinstalación de software no conforme, sin que el
responsable de los equipos de cómputo lo autorice y haya realizado copias de respaldo
de su información. Corresponde al CSEI definir, mantener, mejorar y socializar el
proceso de tratamiento del software no conforme.
8. INSTALACIÓN DE SOFTWARE NUEVO
Toda instalación de software nuevo de cualquier clase o tipo de licenciamiento, o la
implantación de sistemas nuevos basados en software deberán estar previamente
registrado en los sistemas, listados o por los mecanismos establecidos por los
responsables de la actualización de los registros de licencias y software autorizado.
La especificación de software de prueba también debe ser registrada previamente
como tal y seguir para ello procedimientos y controles respectivos. Según los niveles
de responsabilidad, funciones o procesos a cargo del responsable de equipos de
cómputo, este podrá registrar el software directamente en los sistemas, mecanismos o
listas disponibles mencionados en los numerales previos, lo cual deberá ser realizado
previamente a la instalación como tal, y en todo caso siempre cumpliendo con los
principios sobre licenciamiento y derechos de autor manifestados en la Política.
9. USO DE SOFTWARE
A través de la adquisición de licencias de software, la organización facilita al usuario el
uso para la realización de las tareas inmersas en procesos de la organización.
En cualquier momento que el usuario no esté de acuerdo total o parcialmente con esta
política, deberá abstenerse de usar el software. La organización declara que toda
licencia de software que se entrega o se instala en los equipos de cómputo que forman
parte del parque informático de la institución se encuentra protegido por derechos de
propiedad intelectual que incluyen: derechos de autor y derechos de propiedad
industrial, entre otros:

Enero 20212022
9.1. El usuario se compromete a utilizar el software conforme a lo dispuesto en la
presente política. El usuario reconoce y acepta que el uso de una licencia de
software adquirido por la organización no le implica ningún derecho de propiedad
sobre el mismo, ni sobre los productos que de su uso se deriven.
9.2. El usuario debe abstenerse de copiar, modificar, reproducir, distribuir o utilizar el
software de cualquier forma con o sin fines de lucro a menos que se cuente con la
autorización expresa y por escrito de la organización.
9.3. El software licenciado para la organización, bajo ninguna circunstancia debe
proporcionarse a personas u organizaciones externas o usarse con fines de lucro.
9.4. Todo software licenciado por la organización, solo será instalado en equipos de
cómputo que formen parte del parque informático de la institución, cumpliendo con
las condiciones técnicas y las cantidades adquiridas según el licenciamiento que
se haya adquirido o pactado. Cualquier solicitud para instalación en equipos de
cómputo que no pertenezcan a la organización debe ser realizada por la CSEI,
quien estudiará cada caso en particular y verificará si cuenta con aprobación o
rechazo. En el caso que sea aprobado el uso de licencias de software, en
computadores que no sean de propiedad de la organización, éste se instalará por
un personal autorizado de la organización y en ningún momento se suministrarán medios
o
claves de instalación. El tiempo de vigencia o duración de la autorización para el
uso de la o las licencia(s), será estrictamente el tiempo en el cual el usuario de
éstas estén vinculadas a la organización. Cuando el usuario deje de pertenecer a la
Universidad, o finalice el proyecto para el cual fue permitido el uso del software,
debe desinstalar cualquier licencia de software que permanezca en su computador
y reintegrar a la institución, en el caso que aplique, los medios de instalación,
manuales, llaves físicas o documentos que tenga bajo su responsabilidad.
El usuario se compromete a seguir las instrucciones o recomendaciones que

Enero 20212022
imparta la DISI, relacionados con los mecanismos o procedimientos establecidos
para el uso del software y licencias adquiridas por la organización que le sean
instaladas.
9.5. La organización a través del SIC y Dirección de Asesoría Legal de la organización; y
en concordancia con la normatividad interna, las leyes nacionales o
internacionales aplicables, así como de la presente política; definirá el marco
disciplinario relacionado con el no acatamiento de los principios y lineamientos
definidos en la Política o en sus procesos. Dicho marco deberá ser
institucionalizado y estar disponible públicamente.
9.6. La organización se reserva el derecho a negar el uso o retirar una licencia de
software instalado, sin necesidad de previo aviso, por iniciativa propia o a petición
de cualquier persona, que justifique debidamente, a aquellos usuarios que den un
uso indebido al software, o que incumplan total o parcialmente esta política.
10. ELEMENTOS DE POLÍTICA
La organización, definirá un conjunto de procesos, procedimientos y
guías que permitan la adopción de los lineamientos definidos en la Política, en el marco
de los principios declarados y en un contexto de mejora continua. Los elementos
deberán ser de público conocimiento y contener una referencia que pueda conducir al
texto de esta Política.
11. DIVULGACIÓN
La organización debe asegurar, que la Política sea de conocimiento
público para tomar conciencia de la pertinencia e importancia de racionalizar la
adopción y uso del software.

Intervalo de tiempo disponible para recuperación

Asegurando la operación de los respaldos

Enero 20212022
Levantando la infraestructura ante fallas catastróficas
Informando sobre fallas
Introducción
Actualmente los discos duros de las máquinas de la organización son respaldados cada 10
minutos. Para este procedimiento se realizan snapshots del disco duro completo en la
plataforma de Google Cloud.
intervalos de tiempo disponible para recuperación
Se mantienen simultáneamente las últimas 12 copias de seguridad realizadas a cada disco
duro cada 10 minutos, teniendo posibilidad de recuperación respecto a las últimas 2
horas.
Además de lo anterior, se mantiene un snapshot por hora durante las últimas 12 horas
previas a las copias cada 10 minutos y finalmente se mantiene una copia diaria los últimos
7 días previos a las copias por hora.
Lo anterior suma un total de 31 copias de seguridad simultáneas para cada base de datos,
permitiendo levantar el servicio ante fallas catastróficas a puntos que van desde los
últimos 10 minutos de ocurrida la falla hasta los últimos 7 días de operación.
Asegurando la operación de los respaldos La instrucción de copias de seguridad es
ejecutada por una máquina automatizada en la nube dedicada a este propósito, distinta a
las máquinas utilizadas para PostCenter, de tal manera que siempre se encuentre
operando.

Levantando la infraestructura ante fallas catastróficas

Gracias a que la organización opera en la nube, el tiempo que toma recuperar la
plataforma utilizando las copias de seguridad puede ser sumamente breve puesto que se
crea una nueva máquina nueva utilizando una copia de disco completo que ya se
encuentra preparado para iniciar el servicio.

En caso de un problema en alguna de las bases de datos, el equipo de desarrollo

determinará el punto en el tiempo en el cual los datos se encuentran sin corrupción y
utilizará esa copia para recrear toda la infraestructura.

Enero 20212022
Por norma general la recuperación puede tomar menos de 30 minutos ante un buen
pronóstico.
Informando sobre fallas
Una falla de este tipo será notificada en nuestro sitio de Estado de Servicio, donde se
especificará el tiempo estimado de solución y se dará a conocer el estado de avance de la
solución en tiempo real.
15. Políticas de Transferencia de información física:
a) La información debe ir en sobre cerrado y sellado sin referencias sobre su contenido.
b) Enviar la información de uso interno por los mecanismos autorizados por organización.

POLÍTICA PROTECCIÓN CONTRA MAL WARE

La organización está comprometidos a proteger la privacidad de los individuos que
interactúan con nosotros, como los visitantes de nuestro sitio web, clientes, socios
comerciales, clientes potenciales, destinatarios de comunicaciones de marketing, usuarios
finales y asistentes a eventos Esta política de protección ware explica a nivel general las
distintas maneras en que VMware recopila, usa y comparte información personal en los
siguientes casos:
Usted visita, interactúa o usa cualquiera de nuestros sitios web, páginas de redes sociales,
aplicaciones móviles de VMware publicidad en línea, comunicaciones de marketing o de
ventas (nuestras "Propiedades en línea");
Usted visita, interactúa o usa cualquiera de nuestra oficina y actividades de eventos,
ventas, marketing y otras actividades sin conexión y Usted compra y usa productos y
servicios de VMware (incluidas las aplicaciones móviles) que ha implementado uno de
nuestros clientes comerciales, como su empleador (nuestros "Servicios").
Cuando queremos hacer referencia a cualquier combinación de lo anterior, usamos el
término "Propiedades".
Esta política no cubre a nivel general la información que recopilamos de forma automática
en relación con el uso que usted haga de los Servicios de ware. Para obtener más detalles
sobre la información que recopila y usa VMware respecto de la prestación de los Servicios,
En cuanto a la prestación de las Propiedades específicas, ware puede proporcionar
declaraciones "justo a tiempo" o información adicional sobre nuestras prácticas de
recopilación, uso e intercambio de datos. Estas políticas pueden complementar o aportar

Enero 20212022
claridad a las prácticas de privacidad de ware en las circunstancias descritas, o bien,
proporcionarle opciones adicionales sobre cómo ware procesa sus datos.
La "Información personal" es la información que identifica a un individuo o está
relacionada con un individuo identificable. ware y los proveedores de servicios de terceros
recopilan información personal y otra información de diversas fuentes que, generalmente,
se ubican dentro de una de las siguientes categorías:
Información que usted nos proporciona a través de sus interacciones con nosotros y su
uso de las Propiedades
Información que recopilamos de forma automática de usted en relación con su uso de las
Propiedades en línea (consulte el Aviso de productos y servicios de ware para saber qué
información recopilamos de forma automática en conexión con los Servicios)
Información de fuentes externas y empresas asociadas
La información que recopilamos de usted
Recopilaremos información personal cuando nos la proporcione de manera voluntaria
(incluido a nuestros proveedores de servicios u otros terceros que la recopilen en nombre
nuestro). Por ejemplo, recopilamos información personal cuando usted pide, se registra
para (o usa) o solicita información sobre productos, servicios o aplicaciones de ware, se
suscribe a comunicaciones de marketing, solicita soporte, responde encuestas, nos ofrece
comentarios sobre productos o se suscribe a un evento o seminario web de VMware.
Además, también podemos recopilar información personal de usted fuera sin conexión,
como cuando asiste a uno de nuestros eventos, tiene llamadas telefónicas con
representantes de ventas o se comunica con el soporte al cliente.
La información personal que recopilamos puede incluir datos de contacto (como su
nombre, dirección, número de teléfono o correo electrónico), información profesional
(como el nombre de su empleador, su dirección, su título de trabajo, su departamento o
función), ID y contraseñas de usuario, fotografías con fines de seguridad y preferencias de
contacto. También recopilamos la información que usted decide suministrarnos cuando
solicita información o completa cualquier casilla de "texto libre" en nuestros formularios
(por ejemplo, para inscribirse en eventos, dejar comentarios sobre productos o responder
encuestas) o la naturaleza de su solicitud o comunicación. Además de lo anterior,
podemos recopilar información personal que usted divulga en tableros de mensajes,
funciones de chat, blogs y otros servicios o plataformas en los que usted puede publicar
información y materiales (incluidos servicios y plataformas de terceros). Asimismo, es
posible que grabemos las comunicaciones que mantengamos con usted por teléfono u
otro medio, con el alcance autorizado por la legislación aplicable.

Enero 20212022
Cuando realiza una compra en VMware, también podemos recopilar información de
facturación y de la transacción.
Información que recopilamos de forma automática
VMware recopila información del uso de tecnologías, como cookies, etiquetas de píxel,
widgets, URL incorporadas, protocolos de comunicación electrónica, botones y
herramientas en conexión con sus Propiedades en línea. Los tipos de tecnología usados
por VMware pueden cambiar con el tiempo a medida que la tecnología evoluciona. Este
Aviso de privacidad y nuestro Aviso de cookies proporcionan información sobre nuestro
uso de cookies y otras tecnologías de seguimiento similares.
Propiedades en línea:
recopilamos cierta información de manera automática cuando usa, accede o interactúa
con nuestras Propiedades en línea, incluidos nuestros anuncios en línea o comunicaciones
de marketing. Esta información no revela necesariamente su identidad de manera directa,
pero puede incluir números de identificación únicos y otra información sobre el
dispositivo específico que está usando, como el modelo de hardware, la versión del
sistema operativo, el software del navegador web (como Firefox, Safari o Internet
Explorer), su dirección de protocolo de internet (IP)/dirección MAC/identificador del
dispositivo, información de eventos del dispositivo (como bloqueos, actividad del sistema
y configuraciones de hardware, idioma del navegador, la fecha y hora de su solicitud y la
URL de referencia), ubicación geográfica amplia (por ejemplo, ubicación a nivel de país o
ciudad) y otros datos técnicos que identifican a su navegador de manera exclusiva.
También podemos recopilar información sobre cómo ha interactuado su dispositivo con
nuestras Propiedades en línea, como las páginas a las que accedió y otra información
estadística.
Servicios de VMware:
en cuanto a la implementación de su organización de ciertos Servicios, VMware puede
recopilar determinada información de manera automática en relación con el uso que
usted haga de los Servicios. Consulte el Aviso de productos y servicios de VMware para
obtener más información sobre los tipos de datos recopilados y usados respecto de la
prestación de los Servicios de VMware.
Si usted es un usuario individual de servicios de VMware y necesita más información sobre
nuestras prácticas de recopilación de datos para servicios que ha implementado su
organización, comuníquese con su administrador de TI.
Información de fuentes externas y empresas asociadas

Enero 20212022
En forma periódica, podemos obtener información sobre usted de fuentes externas, a
menos que lo prohíba la legislación aplicable, por ejemplo: de bases de datos públicas,
revendedores y socios de canal, socios de marketing, plataformas de redes sociales,
organizadores de eventos u otra información disponible para el público. Asimismo, es
posible que solicitemos información acerca de usted a nuestras empresas asociadas, y, en
lo que respecta a la venta y la comercialización de nuestros servicios y productos
colectivos, a sus respectivos socios designados.
A modo ilustrativo, podremos recibir de otras fuentes la siguiente información: su
nombre, dirección, número de teléfono, ubicación de oficina, ubicación aproximada
(según búsquedas de IP inversa), información de cuenta, puesto de trabajo y perfil laboral
disponible públicamente, información de servicio y soporte, información sobre sus
intereses o preferencias en cuanto a productos o servicios, hábitos de navegación,
información de visualización de páginas de determinados socios comerciales con los que
gestionemos servicios de marca compartida u ofertas conjuntas, e información de historial
de crédito de las oficinas de crédito correspondientes. Podemos usar esta información en
combinación con sus detalles de contacto, información profesional e historial de
transacciones de VMware por los motivos establecidos en este Aviso de privacidad, como,
por ejemplo, mejorar la precisión de nuestros registros, tener una mejor comprensión de
usted y de sus preferencias, proporcionar marketing y apoyo relevantes, y detectar y
prevenir el fraude.
POLÍTICA DE USO DE CONTROLES CRIPTOGRÁFICOS
Objetivo
Garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad,
autenticidad e integridad de la información digital.
Alcance
Toda la información digital que en función de su clasificación requiera ser protegida de
esta forma, para mantener la confidencialidad, autenticidad e integridad.
Responsabilidades
Responsable de seguridad de la información debe velar por el cumplimiento de la
presente política.
Personal o proveedores de “La Organización” deben cumplir con lo establecido en la
presente política.
Responsable de tecnología de la información es el responsable de la gestión técnica de los
controles criptográficos.

Enero 20212022
Políticas relacionadas
Política de Clasificación de la Información
Política de Continuidad de las operaciones y recuperación ante desastres
Política de Gestión de usuarios y contraseñas
POLÍTICA DE RESPALDO DE INFORMACIÓN
“La Organización” debe:
Utilizar controles criptográficos en los siguientes casos:
Para la protección de claves de acceso a sistemas, datos y servicios.
Para la transmisión de información clasificada como sensible.
Para el resguardo de información, cuando así surja de la evaluación de riesgos.
Definir procedimientos para la gestión de claves, la recuperación de información cifrada
en caso de pérdida, compromiso o daño de las claves y en cuanto al reemplazo de las
claves de cifrado.
Definir y asignar el rol de responsable de la gestión de claves.
Establecer los algoritmos de cifrado a utilizar para los distintos escenarios, así como la
longitud de la clave.
Procesos dependientes
Proceso de gestión de claves de cifrado
Proceso de cifrado de información
Proceso de cifrado de las comunicaciones
Procesos Relacionados
Proceso para la asignación de acceso lógico a sistemas
Proceso de recertificación periódica de acceso lógico a sistemas
Proceso de respaldo de sistemas y datos.
Proceso de restauración de sistemas y datos.
Cumplimiento

Enero 20212022
Ante la verificación del incumplimiento de lo estipulado en la Política regulada en el
presente documento, El directorio podrá tomar las medidas que se considere pertinentes,
a efectos de darle el debido cumplimiento.
POLÍTICA DE SEGURIDAD DE LA COMUNICACIÓN

Nuestra meta es desarrollar actuaciones de comunicación encaminadas a fomentar nuestra buena

reputación a través de la creación, desarrollo y difusión de nuestra imagen, con honestidad,
integridad, transparencia y responsabilidad, para brindar información veraz, clara y contrastable,
manteniendo la coherencia entre los mensajes emitidos, tanto externos como internos, en
cualquiera de nuestros soportes y canales, por parte de todas las áreas de nuestra organización.

Nuestros objetivos

Consideramos que las actuaciones de comunicación son un valor estratégico, que contribuyen a
que alcancemos nuestros objetivos corporativos y de negocio y que han de regirse por los
siguientes principios:

Preservar e impulsar nuestra imagen y reputación

Gestionar las actuaciones de comunicación bajo el principio de voz única, de manera transversal,
integrada y global, proyectando una imagen consistente que nos permita ser reconocidos
universalmente, sin perjuicio de las adaptaciones necesarias a nivel local o de actuar en diferentes
países y mercados con diversidad de productos, servicios y grupos de interés.

Identificar las oportunidades de comunicación, evaluando los beneficios y los riesgos de cada una
de ellas antes de actuar. No llevaremos a cabo acciones de comunicación que puedan suponer un
aumento de nuestro riesgo reputacional.

Mitigar riesgos a través de acciones de comunicación, minimizando los impactos negativos sobre
nuestra reputación.

Gestionar la comunicación de forma proactiva y planificada con nuestros grupos de interés

Evitaremos en nuestras comunicaciones la descalificación y la falacia. Asimismo, la comunicación

se llevará a cabo con responsabilidad, con el propósito de que el mensaje emitido no cree
expectativas inalcanzables para nuestros grupos de interés. Para ello, entablaremos con nuestros
diferentes grupos de interés relaciones de confianza, igualdad, simetría y respeto mutuo, basadas
en la escucha, comprensión de su diversidad y de sus necesidades; reconociendo sus diferentes
intereses y derechos.

Planificar las actuaciones de comunicación a corto, medio y largo plazo, teniendo en cuenta los
diferentes mensajes, idiomas, públicos, países y soportes de comunicación, asegurando los
recursos necesarios para su consecución.

Adoptar y utilizar canales de comunicación eficientes y dinámicos entre nosotros y nuestros

grupos de interés, que permitan intercambiar regularmente información en materias que puedan
ser de su interés, para ofrecerles actuaciones de comunicación eficientes que persigan cubrir sus

Enero 20212022
demandas, anticipar sus expectativas y favorecer el conocimiento, la colaboración y el fomento de
las relaciones de confianza mutua.

La comunicación externa tendrá en cuenta, en su caso, los acuerdos que puedan existir con otros
socios minoritarios y/o excluidos de la gestión.

Colaborar activamente en la generación de cultura interna

Contribuir, a través de las diferentes actuaciones de comunicación, a la creación de una cultura

interna acorde con nuestros valores, que apoye la consecución de los resultados de negocio y
favorezca el orgullo de pertenencia entre nuestros empleados.

Fomentar y poner a disposición de nuestros empleados la formación necesaria para su adecuada

capacitación en los ámbitos relacionados con la comunicación.

Mejora continua

Promocionar la implantación de las técnicas y tecnologías más adecuadas y eficaces en cada

momento, permitiéndonos afrontar nuevos retos en los ámbitos relacionados con la
comunicación.

Consideramos que cumplir con esta política es responsabilidad de todos nuestros empleados

POLÍTICA DE PRIVACIDAD

El presente Política de Privacidad establece los términos en que usa y protege la

información que es proporcionada por sus usuarios al momento de utilizar su sitio web.
Esta organización está comprometida con la seguridad de los datos de sus usuarios.
Cuando le pedimos llenar los campos de información personal con la cual usted pueda ser
identificado, lo hacemos asegurando que sólo se empleará de acuerdo con los términos de
este documento. Sin embargo, esta Política de Privacidad puede cambiar con el tiempo o
ser actualizada por lo que le recomendamos y enfatizamos revisar continuamente esta
página para asegurarse que está de acuerdo con dichos cambios.
Información que es recogida
Nuestro sitio web podrá recoger información personal por ejemplo: Nombre, información
de contacto como su dirección de correo electrónica e información demográfica. Así
mismo cuando sea necesario podrá ser requerida información específica para procesar
algún pedido o realizar una entrega o facturación.
Uso de la información recogida
Nuestro sitio web emplea la información con el fin de proporcionar el mejor servicio
posible, particularmente para mantener un registro de usuarios, de pedidos en caso que
aplique, y mejorar nuestros productos y servicios. Es posible que sean enviados correos
electrónicos periódicamente a través de nuestro sitio con ofertas especiales, nuevos
productos y otra información publicitaria que consideremos relevante para usted o que

Enero 20212022
pueda brindarle algún beneficio, estos correos electrónicos serán enviados a la dirección
que usted proporcione y podrán ser cancelados en cualquier momento.
está altamente comprometido para cumplir con el compromiso de mantener su
información segura. Usamos los sistemas más avanzados y los actualizamos
constantemente para asegurarnos que no exista ningún acceso no autorizado.
Cookies
Una cookie se refiere a un fichero que es enviado con la finalidad de solicitar permiso para
almacenarse en su ordenador, al aceptar dicho fichero se crea y la cookie sirve entonces
para tener información respecto al tráfico web, y también facilita las futuras visitas a una
web recurrente. Otra función que tienen las cookies es que con ellas las webs pueden
reconocerte individualmente y por tanto brindarte el mejor servicio personalizado de su
web.
Nuestro sitio web emplea las cookies para poder identificar las páginas que son visitadas y
su frecuencia. Esta información es empleada únicamente para análisis estadístico y
después la información se elimina de forma permanente. Usted puede eliminar las cookies
en cualquier momento desde su ordenador. Sin embargo, las cookies ayudan a
proporcionar un mejor servicio de los sitios web, estás no dan acceso a información de su
ordenador ni de usted, a menos de que usted así lo quiera y la proporcione directamente.
Usted puede aceptar o negar el uso de cookies, sin embargo, la mayoría de navegadores
aceptan cookies automáticamente pues sirve para tener un mejor servicio web. También
usted puede cambiar la configuración de su ordenador para declinar las cookies. Si se
declinan es posible que no pueda utilizar algunos de nuestros servicios.
Enlaces a Terceros
Este sitio web pudiera contener en laces a otros sitios que pudieran ser de su interés. Una
vez que usted de clic en estos enlaces y abandone nuestra página, ya no tenemos control
sobre al sitio al que es redirigido y por lo tanto no somos responsables de los términos o
privacidad ni de la protección de sus datos en esos otros sitios terceros. Dichos sitios están
sujetos a sus propias políticas de privacidad por lo cual es recomendable que los consulte
para confirmar que usted está de acuerdo con estas.
Control de su información personal
En cualquier momento usted puede restringir la recopilación o el uso de la información
personal que es proporcionada a nuestra organización. Cada vez que se le solicite rellenar
un formulario, como el de alta de usuario, puede marcar o desmarcar la opción de recibir
información por correo electrónico. En caso de que haya marcado la opción de recibir
nuestro boletín o publicidad usted puede cancelarla en cualquier momento.

Enero 20212022
Esta compañía no venderá, cederá ni distribuirá la información personal que es recopilada
sin su consentimiento, salvo que sea requerido por un juez con un orden judicial.
Se reserva el derecho de cambiar los términos de la presente Política de Privacidad en
cualquier momento.
POLÍTICA DE PROVEEDORES Y CONDICIONES DE CONTRATACIÓN
Se espera que los proveedores de la organización demuestren su compromiso con la
excelencia en todos los aspectos de su rendimiento. Las políticas del proveedor de la
organización están diseñadas para establecer muchas de las expectativas y requisitos de la
organización en relación a sus proveedores.
La relación comercial de la organización con sus proveedores se basa en las siguientes
políticas de los proveedores, así como también en los términos y las condiciones de los
contratos o de las órdenes de compra que son específicos de las transacciones de los
proveedores con la organización.
Para cumplir con las expectativas de alta calidad de nuestros clientes, la organización ha
establecido políticas y estándares apropiados para garantizar la calidad de nuestros
productos y la integridad de nuestras operaciones.
Se espera que los proveedores brinden valor y aumenten continuamente el valor de la
organización en las áreas de costo, calidad, entrega, innovación, cumplimiento y mejora
continua.
La organización, establece y mantiene elevados niveles de exigencia de responsabilidad a
sus proveedores, promoviendo entre éstos el cumplimiento de estándares éticos, sociales,
medioambientales y de privacidad.
Nos reservamos el derecho a no mantener o suspender relaciones comerciales con
empresas donde existan infracciones significativas demostrables de los Criterios Mínimos
de Negocio Responsable recogidos en esta Política.
POLÍTICAS DE TRANSPARENCIA Y GARANTÍAS.
La Internet ha permitido acercar a las personas a niveles increíbles, pero también ha
permitido nuevas formas de fraudes que se agravan cuando se trata del cáncer y la
desesperación de las personas por encontrar una solución.
Somos conscientes de que nuestro trabajo debe ser lo más transparente posible para
poder brindar la mayor tranquilidad a nuestros pacientes.
Pero, ¿qué es ser transparentes?

Enero 20212022
Primero, para nosotros es importante que el cliente sepa que la información fue
certificada.
Segundo, cada resultado que publicamos, va acompañado de documentación
Tercero, cada cliente tiene el derecho de hablar directamente con nuestros personal y
especialistas. En el momento que lo desee y cuando lo desee.
Cuarto, cada envío que hacemos va acompañado de una guía de courier que certifica su
origen y el ingreso al país de destino. Esto permite seguir el envío del producto desde su
origen hasta su domicilio desde cualquier dispositivo.
POLÍTICA SOBRE DISPOSITIVOS MÓVILES Y TELE‐TRABAJO
1.-OBJETO
El objetivo del presente documento es evitar el acceso no autorizado a dispositivos
ubicados
tanto dentro como fuera de las instalaciones de la organización.
Los usuarios de este documento son todos los empleados
2.-ALCANCE
Esta política es aplicable a todo el personal de la empresa.
3.-DEFINICIONES
No aplica
4.- Computación móvil
4.1. Introducción
Entre los equipos de computación móvil se incluyen todo tipo de ordenadores portátiles,
teléfonos móviles, tarjetas de memoria y demás equipamiento móvil utilizado para
almacenamiento, procesamiento y transferencia de datos.
El equipamiento mencionado precedentemente puede ser llevado fuera de las
instalaciones
solamente con autorización, de acuerdo a lo establecido en la Política de Seguridad de TI.
4.2. Reglas básicas
Se debe tener especial cuidado cuando los equipos de computación móvil se encuentran
en

Enero 20212022
vehículos (incluyendo automóviles), espacios públicos, habitaciones de hotel, salas de
reunión,
centros de conferencias y demás áreas no protegidas exteriores a las instalaciones de la
organización.
La persona que se lleva equipos de computación móvil fuera de las instalaciones debe
cumplir las siguientes reglas:
• El equipamiento de computación móvil que contiene información importante,
sensible o crítica no debe ser desatendido y, en lo posible, debe quedar
resguardado bajo llave o se deben utilizar trabas especiales para asegurarlo.
• Cuando se utiliza equipamiento de computación móvil en lugares públicos, el
usuario debe tener la precaución de que los datos no puedan ser leídos por
personas no autorizadas.
• Las actualizaciones de parches y demás configuraciones del sistema son
realizadas frecuentemente (al menos semanalmente) y pueden ser
supervisadas por el responsable de Seguridad.
• La protección contra códigos maliciosos se instala y actualiza frecuentemente
(al menos semanalmente) y pueden ser supervisadas por el responsable de
Seguridad.
• La persona que utiliza equipamiento de computación móvil fuera de las
instalaciones es responsable de realizar periódicamente copias de seguridad
de datos frecuentemente (al menos diariamente) y pueden ser supervisadas
por el responsable de Seguridad.
• La conexión a redes de comunicación y el intercambio de datos debe reflejar la
sensibilidad de los datos y se realiza de forma que no se comparte ninguna
información del dispositivo móvil.
• La información de datos personales que se encuentra en ordenadores
portátiles debe estar encriptada

Enero 20212022
• La protección de datos sensibles debe ser implementada de acuerdo con la
Política de Clasificación de Información.
• En el caso que el equipamiento de computación móvil sea desatendido, se
deben aplicar las reglas para equipamiento de usuario desatendido, de
acuerdo a la Política de uso aceptable.
El responsable de Seguridad es el responsable de la capacitación y concienciación de las
personas que utilizan equipamiento de computación móvil fuera de las instalaciones de la
organización.
4.2 Teletrabajo
Teletrabajo significa que los equipos de información y comunicación se utilizan para
permitir que los empleados realicen su trabajo fuera de la organización. El teletrabajo no
incluye el uso de teléfonos móviles fuera de las instalaciones de la organización.
El teletrabajo debe ser autorizado por responsable de Seguridad mediante autorización
expresa por escrito.
El responsable de Seguridad es el responsable garantiza lo siguiente:
• Protección del equipamiento de computación móvil, de acuerdo a lo
indicado en la sección anterior.
• Evitar el acceso no autorizado de personas que viven o trabajan en la
ubicación donde se realiza la actividad de teletrabajo.
• Configuración adecuada de la red local utilizada para conectarse a la
Internet.
• Protección de los derechos de propiedad intelectual de la organización,
tanto por el software como por otros contenidos que puedan estar
protegidos por derechos de propiedad intelectual.
• Proceso de devolución de datos y equipamiento en caso de finalización del
empleo.
• Nivel mínimo de configuración de la instalación donde se realizarán las

Enero 20212022
actividades de tele‐ trabajo.
• Tipos de actividades permitidas y prohibidas.

-------- ------------------
-enero Enero 20212022

GERENTE

Enero 20212022