Manual de Políticas de las Tecnologías de Información y Comunicaciones

Objetivo: Definir las políticas y estándares de la seguridad de la información y

comunicaciones para establecer una cultura de calidad para que sea responsable, confiable
y apegada a las leyes.

Alcance: Aplica a todos los colaboradores de la institución.

Políticas de las Tecnologías de Información y Comunicaciones

Uso del Internet

Propósito
Establecer lineamientos necesarios para la navegación de Internet de los usuarios de la
compañía, basados en perfiles de puestos y siguiendo todos los requerimientos de seguridad
para proteger la información sensitiva de la institución.
Prohibiciones
- El acceso a páginas que no estén dentro de la lista de autorizadas por el administrador de
seguridad informática.
- El uso de internet de manera clara desde cualquier equipo de la compañía.
- A los autorizados del internet, carga o descarga de imágenes, carga o descarga de música
y la navegación por sitios de contenido adulto o todo aquel que atente contra la moral y los
buenos principios
- El acceso a internet sin tener la autorización del administrador de seguridad informática.
- El uso de chat en las estaciones de trabajo o equipo portátil.
- Envió de documentos sensitivos mediante paginas (correos), que no sea al previamente
autorizado por el administrador de seguridad informática.
Herramientas Tecnológicas en Internet
Las redes sociales
Desde las grandes corporaciones hasta destacados profesionales, estudiantes y personas en
general, han incorporado las redes sociales en su día a día. Esta nueva tendencia de
socializar se ha convertido en el espacio preferido de todos para el intercambio de
información y de conocimientos.
Para opinar y aportar ideas
Los blogs te permiten compartir con otros usuarios cualquier cantidad de textos, ya sean
tus trabajos académicos, ideas, pensamientos o análisis. Dichos temas pueden tratar los
temas específicos que tú desees, lo interesante estará en los comentarios de quienes te lean.
Pues, en estas plataformas se suelen crear una comunidad importante.
Audio y videos
Si necesitas desarrollar presentaciones orales, crear contenido multimedia animado,
videos y sonido, cuentas con estas aplicaciones, con las que además de comunicarte podrás
transmitir tus ideas en forma más efectiva.
https://www.euroinnova.edu.es/blog/herramientas-tecnologicas-en-internet

Uso del Correo Electrónico

Propósito
Establecer una concientización a los todos los usuarios del servicio de correo electrónico
como medio de comunicación interna y externa, y para la optimización de tiempo y
aprovechamiento de recursos.
Prohibiciones
- La utilización de cuentas genéricas, sin la debida autorización del administrador de
seguridad informática.
- El uso de un correo electrónico por parte de otro usuario que no sea el propietario.
- Envió de correos electrónicos que no sean de uso interno de la compañía.
- La descarga o servicios de entrega automática por parte de correos electrónicos que no
sean de interés de la compañía.
- El archivo impreso de correos electrónicos que sean considerados como confidenciales.
- El uso de correo electrónico para difusión masiva de correos, excepción a aquellos de uso
necesario.

Herramientas Tecnológicas en Internet

Recibidos activos (para Gmail)
ActiveInbox es un complemento para Gmail que te ofrece opciones para convertir el correo
electrónico en tareas. Dígale a su agente que le pregunta en los correos electrónicos qué
artículos quiere ver mañana. No quieres tratar ese mensaje ahora, pero es importante
hacerlo hoy. ActiveInbox proporciona nuevos botones en Gmail que te permiten establecer
una fecha límite «hoy» para este mensaje. También puedes añadir subtareas, como «Revisar
las listas de propiedades para la vista de mañana» para que no tengas que releer todo el
mensaje cuando estés listo para responder. Si este es tu mensaje más importante para hoy,
también puedes arrastrarlo y apretarlo; déjalo en la parte superior de tu bandeja de entrada
para que esté en la parte delantera y en el medio.
Cristal (para el Chrome)
Crystal, un plug-in para el navegador, le informa sobre la persona a la que está enviando un
correo electrónico para que pueda personalizar su tono de voz con esa persona. ¿Prefiere la
persona una comunicación breve y directa o un enfoque informal y comunicativo? Crystal
llega a conocer al destinatario del correo electrónico basado en su personalidad en línea y
luego sugiere frases que le atraigan. Aunque no es una forma infalible de escribir mejores
correos electrónicos, podría ser útil para conseguir un punto de apoyo con nuevos clientes y
colegas. Es gratuito, pero necesitarás una cuenta de pago para integrarlo con CRM,
LinkedIn y Gmail.
Exploratorio (para el Chrome)
El complemento Discoverly de Chrome utiliza la información que has recibido a través de
LinkedIn, Gmail, Twitter y Facebook para informarte sobre las personas que te envían
correo electrónico. Cuando llega un nuevo correo electrónico, puedes ver si tú y el
remitente tienen amigos comunes. También puedes ver si han twitteado recientemente y lo
que dijeron. Si intercambias frecuentemente mensajes con personas que tienen «conexiones
sueltas», esta es una gran aplicación para ayudarte a mantener tu juego de correo
electrónico bajo control.
https://tutorialplanet.net/20-herramientas-para-un-correo-electronico-mas-productivo/

Uso de la estación de trabajo

Propósito:
Realizar tareas con responsabilidad y ofrecer su rendimiento siendo lo suficientemente
eficiente, cuidadoso y teniendo un alto funcionamiento y fiabilidad.
1. Todo usuario al cual se le asigne una estación de trabajo con equipo es responsable
de cumplir con la política de seguridad.
2. El usuario es responsable de su equipo de trabajo manteniendo los debidos
resguardos en cuanto a confidencialidad de la información almacenada.
3. Debe cuidar y mantener en buen estado el equipo de trabajo.
4. Orden y limpieza en la estación de trabajo, manteniendo en orden la información.
5. En la estación de trabajo, el equipo debe ser utilizado solo para lo que se está
autorizado.
 6. Al momento de usar el equipo de la estación de trabajo bajo ninguna circunstancia
se debe ingresar con el nombre de otro usuario.

Proceso antivirus
Propósito
Tiene como propósito detectar y eliminar malware o software malicioso analizando los
archivos y monitorizar el dispositivo para detectar cualquier actividad fuera de lo normal.
1. Utilizar programa de antivirus el cual controla los archivos y correos electrónicos.
2. Todo usuario deberá tener las medidas de protección para la red
3. Prohibido la utilización de software no autorizados para la protección de archivos o
software de fuentes externas
4. Se definirán responsabilidades a los usuarios que tienen la autorización de la
detección de malware y de usuarios.
5. Se realizaran capacitaciones para el personal encargado a la tarea de detecciones de
software maliciosos para obtener los conocimientos necesarios.
6. Capacitar a los usuarios para que al momento de una alarma de software malicioso
ya sepan actuar.
7. Los usuarios deberán reconocer cuales son los problemas que causa un software
malicioso

¿De qué amenazas nos defienden los antivirus?

De virus que son programas que se camuflan en ficheros de usuarios.
De gusanos informáticos que son capaces de ejecutarse y propagarse a través de si mismo
por la red con el propósito de colapsar y equipos y rede informáticas.
Los virus conocidos como troyanos son aquellos que se esconden las la apariencia de un
programa legítimo que funciona correctamente.

Adquisición Hardware y Software

Propósito:
Escoger el hardware y el software que resulta un aspecto importante para las
organizaciones. Debemos, ante todo, enfocarnos a realizar un proceso formal que nos ayude
a regular nuestras decisiones y escoger la mejor alternativa de compra que satisfaga
nuestras necesidades.
Para realizar cualquier adquisición de hardware y software, tenemos que tener los
siguientes puntos:
- Solicitud de la tecnología realizada por las áreas o dependencias de la organización.
 - Análisis y solicitudes, donde se termina las pertinencias de la tecnología solicitada:
Para hardware: pertinencia del equipo, el espacio logístico y físico, disponibilidad
electica para la conexión.
Para Software: pertinencia del software; integración a los sistemas información
módulos existentes, costo, soporte, actualización.

El objetivo de la planificación se logra mediante un proceso de descubrimientos de la

información que lleve a estimaciones razonables.
Esta política define las directrices que se deben de tener en cuenta para la definición y
compra de Hardware y Software con el fin de propender por un crecimiento organizado y
estructurado de la arquitectura Tecnológica de la empresa.
Criterios de selección:
Software: Representa la oportunidad que tiene la institución o comprador para solicitar al
proveedor que especifique las bondades y características que ofrece su software como
solución a nuestro requerimiento.
Hardware: Debemos considerar de preferencia las versiones más recientes en el mercado
acerca de procesadores, controladores de memoria, de entrada y salida con el fin de evitar
en lo posible la obsolescencia prematura del equipo, pero sobre todo considerar que la
memoria y disco duro satisfagan requerimientos futuros.
Especificaciones técnicas mínimas sugeridas (Hardware):
- Portátiles: Procesador Core i5, memoria RAM de 4 GB, disco duro de 1TB, pantalla
de 13,3”, sin unidad de DVD, livianos, preferiblemente Windows 7 (aunque en la
actualidad las empresas están optando con Windows 10). Actualmente se está
adquiriendo el modelo de HP Probook 430 G3.
- Equipos de cómputo marca HP con garantía extendida a 3 años.}
- Equipos de escritorio: Procesador Core i5, memoria RAM de 4 GB, disco duro de
1TB, pantalla de 13,3”, sin unidad de DVD, livianos, preferiblemente Windows 7
(aunque en la actualidad las empresas están optando con Windows 10). Actualmente
se está adquiriendo el modelo de HP Probook 430 G2 SFF.
Especificaciones técnicas mínimas sugeridas (Software):
- Todo programa del computador antes de ser instalado, debe tener la licencia legal de
uso debidamente registrada según corresponda con las exigencias del licenciamiento
adquirido y las políticas específicas de la casa de Software a la que pertenece.
- Está prohibida la instalación o uso de programas de computador que no estén
debidamente autorizados por la Dirección de Tecnología o en su defecto la Gerencia
General.

Hardware
 1. Ordenador de sobremesa. Ordenador montado por piezas (clónico) con arquitectura
386.
2. Ordenador portátil (notebook). Ordenador de marca prestigiosa con arquitectura
386. Gama profesional.
3. Tableta (tablet). Tableta de marca conocida y nivel medio de prestaciones. Sistema
operativo Android.

Software
1. Sistema operativo que uso habitualmente en los ordenadores: GNU Linux,
distribuciones Ubuntu y openSUSE.
2. Aplicaciones informáticas que empleo bajo sistema operativo GNU Linux:
-Navegadores internet: Mozilla Firefox, Google Chrome y Opera.
-Acceso a servidores (FTP): Filezilla
-Cliente correo electrónico POP: Evolution
https://docplayer.es/61796922-Politica-de-adquisicion-y-uso-de-hardware-y-
software.html
https://es.slideshare.net/proyecto201322/adquisicin-de-hardware-y-software
https://www.um.es/docencia/barzana/VARIOS/Recursos-hardware-software.html

Seguridad de Contraseñas
Propósito:
El uso de contraseñas seguras reduce el riesgo general de una infracción de seguridad,
pero las contraseñas seguras no reemplazan la necesidad de otros controles de seguridad
eficaces. La efectividad de una contraseña de una seguridad determinada está
fuertemente determinada por el diseño y la implementación de
los factores (conocimiento, propiedad, inherencia).
Acerca de los niveles de seguridad de contraseñas

Bajo: cada contraseña debe tener un mínimo de 5 caracteres. Este es el nivel de seguridad
predeterminado.

Mediano: cada contraseña debe tener un mínimo de 6 caracteres y cumplir con los
siguientes requisitos:

 Incluir números y letras en mayúsculas y minúsculas

 Incluir un carácter especial que no sea una letra o un número

Alto: cada contraseña debe tener un mínimo de 6 caracteres y cumplir con los siguientes
requisitos:

 Incluir números y letras en mayúsculas y minúsculas

 Incluir un carácter especial que no sea una letra o un número

 La contraseña vence después de 90 días y la nueva contraseña debe ser diferente

a las 5 contraseñas anteriores

Personalizado: seleccione Personalizar y haga clic en Editar para establecer los

requisitos de contraseñas personalizados. Cada contraseña debe cumplir los requisitos que
usted haya establecido. Este nivel de seguridad solo está a disposición de los agentes y
administradores.

La mayoría de las opciones son fáciles de comprender con excepción de las siguientes:

 Número de contraseñas anteriores para rechazar. Las contraseñas nuevas

deben ser distintas a las contraseñas anteriores, es decir, al número de
contraseñas que se estableció aquí.

 Intentos fallidos hasta el bloqueo. Si un usuario final o un agente ingresa su

contraseña incorrectamente tantas veces seguida como se haya establecido, será
bloqueado por cierto tiempo, y no podrá volver a iniciar sesión hasta que el
bloqueo caduque.

 Número máximo de letras o números consecutivos. El número máximo de

números y letras secuenciales que se permiten en una contraseña. Por ejemplo, si
establece el máximo en 4, se rechazaría una contraseña
como admin12345 porque lleva cinco números secuenciales. Si la opción
estuviera definida en 5, la contraseña sería aceptada.

 Las contraseñas pueden parecerse al correo electrónico. Controla si las

contraseñas nuevas pueden incluir partes de una dirección de correo electrónico.
Por ejemplo, si esta opción está establecida en No, y un usuario tiene una
dirección de correo electrónico que dice david@micompañía.com, la dirección
de correo electrónico no puede incluir david como parte de su contraseña.

Mejores prácticas de seguridad de contraseñas

 Nunca utilizar la misma contraseña para más de una cuenta

 Nunca compartir una contraseña

 Nunca apuntar la contraseña

  Nunca comunicar la contraseña por teléfono, correo electrónico o mensajería
instantánea

 Finalizar la sesión antes de dejar el equipo desatendido

 Cambiar la contraseña si se sospecha que ha sido comprometida

Herramientas y soluciones informáticas

Existe también la posibilidad de recurrir a herramientas y soluciones de software que creen

las contraseñas seguras que vamos a utilizar. A continuación, ofrecemos una recopilación
de enlaces que pueden ser de utilidad al usuario:

- MaxPassword: http://www.max2k.com/

- lameGen: http://lame-industries.net/

- ViPNet Password Roulette: http://www.infotecs.biz

- Password Generator: http://www.wincatalog.com/

- Password Strength Analyser and Generator: http://pwdstr.sourceforge.net/

- Cryptix: http://www.rbcafe.com/

Seguridad de la Información Sensitiva

Propósito
El propósito de esta política es definir los estándares para salvaguardar la información
contra uso no autorizado, divulgación o revelación, modificación, daño o pérdida y para
asegurar el cumplimiento de regulaciones y leyes aplicables.

Información sensitiva – Esta información debe estar disponible a los empleados, pero no
disponible al público.
Información restringida – Acceso a esta información debe estar limitada a una audiencia
restringida, determinada por la Administración.
Información confidencial – Esta información debe estar solamente disponible a personas
designadas.
Aspectos Generales
5.1.1 Todo documento, carpeta, y otros medios de almacenamiento que contienen
información sensitiva, restringida o confidencial debe ser ubicada en áreas protegidas.
Estos medios de almacenamiento de información nunca deben ser ubicados en un lugar
donde visitantes pueda tener acceso a ellos.
5.1.2 Diversos tipos de datos presentan varios riesgos. Preste atención particular a cómo
se guarda la información personal: números de Seguro Social, tarjetas de crédito o
información financiera, y otros datos sensibles. Si no existe una necesidad legítima de
información personalmente identificable, para un proceso específico no la guarde. Si existe
una necesidad legítima de negocio de la información, guárdela solamente mientras sea
necesario.
5.1.3 Los medios de almacenamiento de información que contienen información sensitiva,
restringida o confidencial debe ser guardada en un área segura a final de cada día laborable.
5.1.4 Toda información de respaldo de datos (“Backus”) enviado o almacenado en medios
de datos (por ejemplo. disquetes, CD, discos ópticos, etc.) debe ser protegido y debe ser
manejado según los procedimientos.
5.2.5 Al momento de desechar, los documentos sensitivos o confidenciales deben ser
destruidos en equipos “shredders”.

Herramientas Tecnológicas para salvaguardar la información:

Amazon Web Services
Google Cloud
Microsoft Azure

Seguridad en un Servidor
Seguridad de las salas de servidores
Cuando se habla de la seguridad del servidor, generalmente se piensa en brindar protección
contra peligrosos hackers que lanzan sus ataques a través de internet. Sin embargo, incluso
con la actual revolución de la nube, los servidores todavía se almacenan en centros de
cómputo y salas de servidores. En estas ubicaciones, se debe realizar un mantenimiento
regular del hardware y revisiones a causa de su desgaste. Además, estos equipos están
expuestos a una serie de riesgos físicos que incluyen desde fluctuaciones de tensión hasta
terremotos. No olvidemos que, debido al papel central que desempeñan estos servidores,
los problemas que ocurran en la sala que los albergue pueden tener un rápido impacto en
toda la compañía.
Peligros naturales
El hardware de un servidor también puede verse afectado por la temperatura y la humedad
del aire de la estancia. Por lo tanto, las salas de servidores deben estar equipadas con
sistemas de aire acondicionado, calentadores y sistemas de ventilación.

Limitar el acceso
Los datos de clientes y empresas que se guardan en servidores y sus correspondientes
sistemas de almacenamiento requieren una vigilancia especial. Por ello, hay que controlar
quién puede acceder a estos datos a través de la red. El acceso físico a la sala de servidores
también debe estar dictado por un conjunto transparente de reglas

Permiso de acceso: saber cuándo y cómo otorgarlo

Pueden producirse lagunas de seguridad cuando se otorgan permisos de acceso de manera
inconsistente o aleatoria. La empresa debe definir claramente quién necesita acceder a una
sala de servidores y quién recibirá una tarjeta chip o clave de entrada. Se deben registrar
por escrito todos estos permisos de acceso.
Política de seguridad de equipos de comunicación
Propósito
Con esta política las empresas u organizaciones tratan de minimizar los riesgos en los que
se puede poner expuesta la información durante el proceso de comunicación, ya que intenta
mantener seguros los datos durante el proceso de emisión, transporte y recepción.
Medidas de seguridad
Las medidas de seguridad son las acciones que toma una organización para disminuir los
riesgos de Seguridad:
Preventivas: son las medidas que tienden a disminuir el riesgo de que una amenaza ocurra
antes de producirse.
Perceptivas: estas medidas consisten en realizar acciones que revelen riesgos no
detectados.
Correctivas: son las medidas que se toman cuando ha ocurrido una amenaza.

Herramientas técnicas
Existen métodos o herramientas tecnológicas que ayudan a las organizaciones a mantener
segura la red.
Firewalls: Es un sistema o combinación de sistemas, que exige normas de seguridad en la
frontera entre dos o más redes.
Vlan: En una red LAN se utilizan los switche para agrupar estaciones de trabajo y
servidores en agrupaciones lógicas.
Detección de Intrusos: Una intrusión es cualquier conjunto de acciones que puede
comprometer la integridad, confidencialidad o disponibilidad de una información o un
recurso informático.

Amenazas
Las amenazas se pueden dividir en tres grupos:
Naturales: cualquier evento de seguridad producido por un fenómeno como terremoto,
incendio, inundación.
Intencionales: eventos de seguridad causados deliberadamente sobre un activo con la firme
intención de causar daños o perdida, fraudes.
Involuntarias: eventos de seguridad producidos accidentalmente.

https://comunidad.udistrital.edu.co/revistavinculos/files/2012/12/LA-SEGURIDAD-EN-
LAS-REDES-DE-COMUNICACIONES-ED5.pdf
Política de Seguridad en redes inalámbricas
Propósito
Las redes inalámbricas son alternativa muy versátil para la extensión, el enriquecimiento y
la mejora del uso de las redes que ya se están utilizando, esta tecnología aumenta si
consideramos que se pueden incorporar nuevos equipos a la red de una forma inmediata sin
estar ligados a una conexión de red.
Prohibiciones
las redes inalámbricas introducen una serie de características que pueden suponer nuevos
alicientes para la intromisión en ellos.
El hacking y cracking se han puesto en práctica tradicionalmente utilizando medios
lógicos. Esto quiere decir que se suele tratar de realizar intrusiones utilizando programas y
medios basados en la lógica de computación
Acceso casi-anónimo a la red: Para tener acceso a Internet, es necesario que se disponga
de un proveedor de servicios, a través del cual se realizan los accesos pertinentes, a los
recursos correspondientes.
Puertas traseras a las redes: Un mal diseño de una red inalámbrica, o del enlace entre la
parte inalámbrica y la parte cableada de una red corporativa, pueden suponer una puerta
trasera a la red privada de una organización.
Hackers/Crackers: Estos usuarios son los que pueden suponer un problema serio para la
red objetivo de sus intrusiones, ya que son gente que sabe qué es lo que está haciendo,
cómo hacerlo y las implicaciones (legales) que puede tener.

Herramientas técnicas
 Wi-Fi: El término Wi-Fi hace referencia a una marca creada por la Wi-Fi Alliance.
 DHCP: Este protocolo es utilizado para obtener direcciones IP, y resto de
información de red necesaria.
 NAT: Es un sistema que se utiliza para tener un grupo de direcciones privadas
dentro de nuestra red.
 DSL: Agrupan a una serie de teologías de comunicación que utilizan el cableado
telefónico como medio de transporte.
 IEEE: se ha convertido en una autoridad en varias áreas técnicas, desde ingeniería
informática hasta ingeniería en telecomunicaciones, pasando por otras como
ingeniería biomédica o ingeniería eléctrica.
 MAC: utiliza para referirse a la dirección física de un dispositivo de red.

http://www.dsic.upv.es/docs/bib-dig/informes/etd-06242005-121243/DSIC-II-04-
05.TechReport.pdf