UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS

FACULTAD DE CIENCIAS ECONÓMICAS, ADMINISTRATIVAS Y CONTABLES

CARRERA DE INFORMÁTICA ADMINISTRATIVA

POLÍTICAS INFORMÁTICAS
 POLÍTICAS INFORMÁTICAS

 Las Políticas Informáticas agrupan un conjunto de reglas

documentadas y procedimientos que rigen (o indican) la forma en
que se adquieren y administran los recursos informáticos en
empresas, instituciones civiles o gubernamentales.

 Las Políticas Informáticas y estándares constituyen la base para que

toda organización pueda operar de forma eficiente y ordenada en
cuanto a Tecnologías de la Información y Comunicación, tienen por
objeto mantener en óptimas condiciones operativas y de
funcionamiento las tecnologías utilizadas en las instituciones.
 PRINCIPALES POLÍTICAS INFORMÁTICAS

Entre las principales políticas de TI, podemos destacar:

 Política de Seguridad de la Información

 Política para uso de dispositivos móviles
 Política para uso de conexiones remotas
 Política de vinculación de personal
 Política de uso y gestión de activos de información
 Política de asignación de activos de información
 Política de clasificación de activos de información
 Política de identificación de activos de información
 Política de acceso a redes y recursos de red
 PRINCIPALES POLÍTICAS INFORMÁTICAS
 Política de control de accesos a sistemas y aplicaciones
 Política de criptografía
 Política de trabajo en áreas seguras
 Política de pantallas y escritorios limpios
 Política de protección contra software malicioso
 Política de copias de respaldo de la información
 Política de intercambio de información
 Política de uso de correo electrónico institucional
 Política de uso adecuado de internet
Las políticas de seguridad de la
información tienen por objeto establecer
las medidas técnicas y administrativas,
necesarias para garantizar la seguridad
de las tecnologías de información
(equipos informáticos, sistemas de
información, redes) y personas que
interactúan haciendo uso de los servicios
asociados a ellos y se aplican a todos los
usuarios.
Aplica a todos los usuarios internos que son las dependencias que
componen la estructura organizativa que tienen vinculación mediante
contratos o acuerdos institucionales.

Incluye los lineamientos para proteger la información y los recursos

tecnológicos con la que se procesa y se almacena, así como la
recuperación de la información mantenida a nivel de medios (discos
duros, Cloud, Data Center, entre otros) para responder a los
requerimientos de los procesos de la institución.
1. Las políticas enmarcadas entrarán en vigor a partir del día de su difusión.
2. Las políticas, controles y procedimientos podrán ser modificadas o adecuadas conforme a las
necesidades que se vayan presentando, mediante acuerdo del Comité de Seguridad Informática
(CSI); una vez aprobadas dichas modificaciones o adecuaciones, se establecerá su vigencia.
3. La falta de conocimiento de las políticas por parte de los usuarios no los libera de la aplicación de
sanciones y/o penalidades por el incumplimiento de las mismas.
4. Todos los departamentos deben adoptar y cumplir las políticas y controles que emita la Unidad de
Informática.
5. La Unidad de Informática es el encargado de socializar en todas las dependencias las políticas
aprobadas, sobre el proceso y procedimiento para el cumplimiento de estas políticas.
6. El Comité de Seguridad debe complementarse por departamentos afines; MAE, Recursos
Humanos, Auditoría Interna, Legal y/o Secretaría General, Informática.
7. El Comité de Seguridad Informática es la única entidad que puede realizar cambios en las políticas,
para ello, se deberán reunir todos los involucrados y validar todas las situaciones en un acta de
reunión.
Toda solicitud de excepción de alguna política debe ser solicitada al área
de TI con la debida justificación y documentación conforme la naturaleza
de su cargo o dado por eventos no contemplados en el SGSI; previa
evaluación del alcance y el impacto.

La evaluación de la excepción puede requerir el apoyo de Recursos

Humanos, Auditoria Interna, Legal y/o Secretaría General.
Los funcionarios y personal que tengan responsabilidades sobre las fuentes,
repositorios y recursos de procesamiento de la información, deben adoptar los
lineamientos contenidos en cada política, con el fin de mantener la confidencialidad,
la integridad y asegurar la disponibilidad de la información.

1. La revisión y aprobación de las Políticas de Seguridad de la Información

2. Facilitar la divulgación de este manual a todos los funcionarios de la entidad.
3. La verificación del cumplimiento de las políticas mencionadas.
 NORMAS APLICABLES AL ÁREA DE TECNOLOGÍA
 Se debe investigar y probar las opciones de protección de los dispositivos móviles
institucionales que hagan uso de los servicios provistos por la organización.
 Se debe establecer un método de bloqueo (por ejemplo, contraseñas, patrones,
reconocimiento de voz), para los dispositivos móviles institucionales que serán
entregados a los usuarios.
 Se debe configurar estos dispositivos para que pasado un tiempo de inactividad
pasen automáticamente a modo de suspensión y, en consecuencia, se active el
bloqueo de la pantalla el cual requerirá el método de desbloqueo configurado.
 Se debe activar la opción de cifrado de la memoria de almacenamiento de los
dispositivos móviles institucionales, haciendo imposible la copia o extracción de datos
si no se conoce el método de desbloqueo.
 Se debe configurar la opción de borrado remoto de información en los dispositivos
móviles institucionales, con el fin de eliminar los datos de dichos dispositivos y
restaurarlos a los valores de fábrica, de forma remota, evitando así divulgación no
autorizada de información en caso de pérdida o hurto.
 Se debe instalar un software de antivirus tanto en los dispositivos móviles
institucionales como en los personales que hagan uso de los servicios provistos.
 NORMAS APLICABLES A LOS USUARIOS
 Los usuarios deben evitar usar los dispositivos móviles institucionales en lugares que
no les ofrezcan las garantías de seguridad física necesarias para evitar pérdida o robo
de estos.

 Los usuarios no deben modificar las configuraciones de seguridad de los dispositivos

móviles institucionales bajo su responsabilidad, ni desinstalar el software provisto con
ellos al momento de su entrega.

 Los usuarios deben evitar hacer uso de redes inalámbricas de uso público, así como
deben desactivar las redes inalámbricas como WIFI, Bluetooth, o infrarrojos en los
dispositivos móviles organizacionales asignados.

 Los usuarios no deben almacenar videos, fotografías o información personal en los

dispositivos móviles organizacionales asignados.

 Los usuarios deben evitar la instalación de programas desde fuentes desconocidas.

 NORMAS APLICABLES AL ÁREA DE TECNOLOGÍA
 Se debe implantar los métodos y controles de seguridad para el uso de conexiones
remotas al equipo tecnológico y a los sistemas de información de la organización.

 Se debe restringir las conexiones remotas a todos los usuarios que usen equipo
tecnológico; únicamente se deben permitir estos accesos a personal autorizado y por
periodos de tiempo establecidos.

REPONSABILIDADES
 Es responsabilidad del área de tecnología sociabilizar y concientizar esta política con
los empleados.

 Es responsabilidad del área de tecnología el debido cumplimiento de los lineamientos

de seguridad contra la fuga de información y protección de datos sensibles de cada
dispositivo móvil, en observancia a las normativas antes descritas.
 NORMAS APLICABLES A LOS USUARIOS
 Los usuarios que realizan conexión remota deben contar con las aprobaciones
requeridas por el área de tecnología para establecer dicha conexión al equipo
tecnológico de la organización, deberán acatar las condiciones de uso establecidas
para dichas conexiones, de lo contrario tendrán sanciones legales.

 Los usuarios deben realizar la solicitud de conexión remota, bajo el formulario de

solicitud y registro de conexiones remotas que establezca el área de tecnología.

 Lo usuarios deben realizar el proceso de encriptación según “Política de Criptografía”

La institución reconoce la importancia que tiene el factor humano para el
cumplimiento de sus objetivos misionales y, con el interés de contar con el
personal mejor calificado, garantizará que la vinculación de nuevos
funcionarios se realizará siguiendo un proceso formal de selección, acorde
con la legislación vigente, el cual estará orientado a las funciones y roles que
deben desempeñar los funcionarios en sus cargos.

Existen dos puntos fundamentales en el ciclo de vida de todo empleado en

una Institución: El inicio de su actividad profesional y la finalización de la
misma.

Reclutamiento

Cada nuevo empleado de la organización es una apuesta de futuro. La

empresa asigna una serie de tareas y responsabilidades al nuevo empleado,
y le proporciona los medios materiales y la información necesaria para que
pueda llevarlas a cabo.
1. Definición del puesto: Para cada nueva vacante se debe definir la
criticidad del puesto a cubrir según su responsabilidad y la información
que maneja. Cada empresa debe definir su criterio propio.

 Selección: En la selección de candidatos a puestos críticos se deben

comprobar los antecedentes penales y las referencias profesionales.

 Contrato: El contrato laboral debe incluir los correspondientes

acuerdos de confidencialidad, propiedad intelectual y protección de
datos.

 Comienzo: Durante los primeros días de trabajo, es recomendable

que el empleado asista a unas sesiones de formación donde se le
introduzca en la normativa interna y de seguridad informática. De
este modo todo empleado conoce sus obligaciones de seguridad
tales como la protección de sus claves de acceso, uso adecuado del
email e internet, clasificación de la información, etc.
Reciba el manual de normativa interna y firme el compromiso de
cumplimiento del mismo. Este trámite establece formalmente las normas
internas y garantiza que el empleado conoce la normativa existente.

 Accesos: Los accesos a la información y sistemas informáticos deben ser

solicitados siempre por el responsable directo del empleado al área de
tecnología.

Los accesos deben ser siempre justificables por la labor que se va a

realizar, y en caso de ser privilegiados, el área de tecnología debe aprobar
su concesión.
SALIDA DE EMPLEADOS

La salida de un empleado es un punto crítico de riesgo para la organización.

En casos de problemas laborales y despidos, un empleado modelo hasta la
fecha, puede convertirse en una seria amenaza.

Es bastante común que no se gestionen coordinadamente las bajas de los

empleados. En muchas ocasiones, Recursos Humanos se encarga de realizar
los trámites legales de la baja, Por otro lado, TI se ocupa de dar de baja sus
accesos (en el momento en que perciben su ausencia).

Este escenario acaba degenerando en problemas tales como: los accesos de

los ex empleados siguen vigentes durante meses, o que tras la marcha del
empleado no es posible recuperar cierta información vital que poseía. Para
evitar todo esto, debe existir un procedimiento de bajas que tenga en cuenta
aspectos de seguridad.
1. Clasificación de las bajas: El jefe inmediato del empleado junto con
Recursos Humanos deben clasificar la baja según las circunstancias que
la rodean. Un ejemplo de posibles categorías sería:

 Baja normal: si se produce en circunstancias normales y sin

conflictos.

 Baja cautelar: si se produce en circunstancias normales, pero con la

que hay que tener una vigilancia especial en los accesos y
documentación que obra en poder del empleado: personal con
acceso a información sensible, administradores de sistemas, etc.

 Baja crítica: si se produce en circunstancias especiales: despidos,

problemas con el empleado, etc.
2. Comunicación de las bajas: Tan pronto como se conozca la baja de un empleado,
Recursos Humanos debe comunicar las bajas de personal a Informática. En la
comunicación se debe indicar el nombre, la fecha efectiva de la baja, su
clasificación y cualquier medida o control especial que sea necesario realizar.

3. Gestión de las bajas: Informática debe coordinar que la baja se produzca en el

plazo adecuado dependiendo de la clasificación (por ejemplo, una baja crítica
debe realizarse de forma inmediata). Debe efectuarse la retirada de:

 Accesos físicos (llaves, cajas fuertes, llaves electrónicas)

 Accesos lógicos (email, acceso a la red y servidores, sistemas, etc.)
 Material de la empresa (activos de información, etc.)

La gestión de la baja también puede incluir otras medidas dependiendo de la

clasificación de la misma:

 Realización de copias de seguridad de la información sensible.

 Supervisión de los accesos hasta el día de la baja.
 Cancelación preventiva de los accesos más críticos.
PROPÓSITO: Lograr y mantener la protección adecuada de los activos de
información mediante la asignación de estos a los usuarios finales que deban
administrarlos de acuerdo a sus roles y funciones.

ALCANCE: Todos los activos y registros de información cuya naturaleza,

puedan ser física o digital en la organización.

RESPONSABILIDADES
Todos los usuarios de la organización deben conocer y poner en práctica las
disposiciones dadas en la política, para asegurar la integridad de la
información y así mismo su seguridad.

OBJETIVO
Mantener actualizado el inventario de activos de información de la
organización y garantizar que la información reciba un adecuado nivel de
protección.
 NORMAS APLICABLES AL ÁREA DE TECNOLOGÍA

1. Se debe asignar al usuario su respectivo equipo tecnológico registrándolo

con el formulario de asignación de equipos correspondiente.

2. Los usuarios deberán utilizar únicamente los programas y equipos

autorizados por TI.

3. Periódicamente, TI efectuará la revisión de los programas utilizados en

cada dependencia.

4. La descarga, instalación o uso de aplicativos o programas informáticos no

autorizados será considera como una violación a las Políticas de
Seguridad de la Información.

5. Los usuarios no deben realizar intencionalmente actos que impliquen un

mal uso de los recursos tecnológicos.
5. Los usuarios no podrán efectuar ninguna de las siguientes labores sin
previa autorización de la TI:
 Instalar software en cualquier equipo de la organización.
 Descargar software de Internet u otro servicio en línea en cualquier
equipo.
 Modificar, revisar, transformar o adaptar cualquier software
propiedad de la organización.
 Copiar o distribuir cualquier software de propiedad de a
organización.

5. El usuario debe informar inmediatamente a TI, si el equipo asignado

presenta alguna falla de Hardware o Software para proceder a realizar la
revisión y verificar si no hay un daño provocado.
6. Todos los requerimientos de aplicativos, sistemas y equipos informáticos
deben ser solicitados a través de TI con su correspondiente justificación
para evaluar su respectiva viabilidad.
7. El usuario será responsable de todos los procesos o acciones efectuadas
con su “cuenta de usuario”.

8. Ningún usuario deberá acceder a la red de Servidores o a la de la TI.

9. Todos los archivos provenientes de equipos externos a la organización,

deben ser revisados para detección de virus antes de su utilización
dentro de la red de la organización.

10. La información de la organización debe ser respaldada de forma

frecuente, debe ser almacenada en lugares apropiados en los cuales se
pueda garantizar que la información está segura y podrá ser recuperada
en caso de un desastre o de incidentes con los equipos de
procesamiento.
 CRITERIOS DE CLASIFICACIÓN DE INFORMACIÓN
CLASIFICACION INTEGRIDAD DISPONIBILIDAD
INFORMACION CONFIDENCIAL ALTA ALTA
INFORMACION INTERNA MEDIA MEDIA
INFORMATICON PÚBLICA BAJA BAJA

PÚBLICA: Información que puede ser conocida por cualquier empleado de la entidad
y utilizada sin autorización.

INTERNA: Información que puede ser conocida y utilizada por todos los empleados
de la Entidad y algunas entidades externas debidamente autorizadas, y cuya
divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves para la
entidad.

CONFIDENCIAL: Información que sólo puede ser conocida y utilizada por un grupo de
empleados, que la necesiten para realizar su trabajo, y cuya divulgación o uso no
autorizados podría ocasionar pérdidas significativas para la entidad.
 CATEGORIZACIÓN DE ACTIVOS DE INFORMACIÓN

CATEGORÍA DESCRIPCIÓN RANGO

Confidencial Información altamente sensible de uso 4-5
exclusivamente interno.

Interno Información con que trabaja cada empleado y 2-3

que es procesada según su departamento.

Publica Pueden ser entregados a través de una solicitud 0-1

en una dependencia de Transparencia Pública.
La organización deberá identificar todos los activos, documentos y la importancia de
estos para la organización. El inventario de activos deberá incluir toda la información
necesaria para facilitar la recuperación ante desastres, considerando:

 Tipo de activo
 Formato
 Ubicación
 Información de licencias
 Valor para el negocio
 Responsable del activo
 Procedimientos de manipulación

Se debe tener en cuenta que la propiedad y la clasificación de la información, debe

ser acordada y documentada para cada uno de los activos. Esto será basándose en:

 Importancia del activo

 Valor para el negocio
 Clasificación de seguridad
 Niveles de protección de acuerdo a la importancia
Entre los tipos de activos que se pueden encontrar, se incluye:

Información:
 Bases de datos y archivos
 Contratos y acuerdos
 Documentación del sistema
 Manuales de usuario
 Procedimientos operacionales o de soporte
 Plan de continuidad de negocio
 Información de auditorias
 Información archivada

Activos de software:
 Aplicaciones de software
 Software de sistemas
 Herramientas de desarrollo y utilidades

Activos físicos:
 Equipamiento computacional
 Equipamiento de comunicaciones
 NORMAS APLICABLES AL ÁREA DE TECNOLOGÍA

 Se debe establecer un procedimiento de autorización y controles para

proteger el acceso a las redes de datos y los recursos de red de la
organización.

 Se debe asegurar que las redes inalámbricas de la organización cuenten

con métodos de autenticación que evite accesos no autorizados.

 Se debe establecer controles para la identificación y autenticación de los

usuarios en las redes o recursos de red, así como velar por la aceptación
de las responsabilidades.

 Se debe formalizar la aceptación de las Políticas de Seguridad de la

Información por parte de los usuarios.
 NORMAS APLICABLES A LOS USUARIOS

 Los usuarios, antes de contar con acceso lógico por primera vez a la red
de datos de la organización, deben contar con el formato de creación de
cuentas de usuario debidamente autorizado y el Acuerdo de
Confidencialidad firmado previamente.

 Los equipos de cómputo de usuarios que se conecten o deseen

conectarse a las redes de datos de la organización, deben cumplir con
todos los requisitos o controles para autenticarse en ellas y únicamente
podrán realizar las tareas para las que fueron autorizados.
 NORMAS APLICABLES AL ÁREA DE TECNOLOGÍA

 Se debe autorizar los accesos a los sistemas de información o aplicativos,

de acuerdo con los perfiles establecidos y las necesidades de uso,
acogiendo los procedimientos establecidos.

 Se debe monitorear periódicamente los perfiles definidos en los sistemas

de información y los privilegios asignados a los usuarios que acceden a
ellos.

 Dependiendo de la criticidad de los accesos, la organización podrá

establecer mecanismos de doble valor de autenticación, en donde, el uso
queda bajo responsabilidad exclusiva del usuario.
 NORMAS APLICABLES A LOS USUARIOS

 Los usuarios deben registrar su nombre de cuenta y clave de su usuario

para acceder al activo de información previamente asignado, y así mismo
poder acceder al sistema de información o aplicaciones de la entidad, de
acuerdo con los perfiles establecidos y las necesidades de uso.
 NORMAS APLICABLES AL ÁREA DE TECNOLOGÍA

 Se debe velar porque la información de la organización, clasificada como

reservada o restringida, sea cifrada al momento de almacenarse y/o
transmitirse por cualquier medio.

 Se debe almacenar y/o transmitir la información digital clasificada como

reservada o restringida bajo técnicas de cifrado con el propósito de
proteger su confidencialidad e integridad.

 Se debe verificar que todo sistema de información o aplicativo que

requiera realizar transmisión de información reservada o restringida,
cuente con mecanismos de cifrado de datos.

 Se debe desarrollar y establecer un procedimiento para el manejo y la

administración de llaves de cifrado.
 NORMAS APLICABLES A LOS USUARIOS

 Los usuarios deben cifrar la información reservada o restringida y

certificar la confiabilidad de las conexiones de Red para la transmisión
dicha información.

 Los usuarios deben asegurarse que los controles criptográficos de los

sistemas implementados por la organización funcionen de manera
adecuada.

 Los usuarios deben usar el programa de encriptado brindado por TI, una
vez encriptada la información el usuario debe guardar la clave.
 NORMAS APLICABLES AL ÁREA DE TECNOLOGÍA

 Las solicitudes de acceso al CPD o a los activos de información deben ser

aprobadas TI; no obstante, los visitantes siempre deberán estar acompañados de
un custodio durante su visita.

 Se debe registrar el ingreso de los visitantes al CPD y que estén bajo su custodia,
en una bitácora ubicada en la entrada de estos lugares de forma visible.

 Se debe descontinuar o modificar de manera inmediata los privilegios de acceso

físico al CPD, en los eventos de desvinculación o cambio en las labores.

 Se debe velar porque los recursos de la plataforma tecnológica ubicados en el CPD

se encuentran protegidos contra fallas o interrupciones eléctricas.

 Se debe certificar que el CPD y el cableado de Red se encuentren separados de

áreas inseguras, líquidos inflamables o que corran riesgo de inundaciones e
incendios.
 NORMAS APLICABLES A LOS USUARIOS

 Los ingresos y egresos de personal a las instalaciones de la organización

deben ser registrados; por consiguiente, deben cumplir completamente
con los controles físicos implantados.

 Los empleados deben portar el carné que los identifica como tales en un
lugar visible, mientras se encuentren en las instalaciones; en caso de
pérdida del carné o tarjeta de acceso a las instalaciones, deben reportarlo
a la mayor brevedad posible.

 El personal no debe intentar ingresar a áreas a las cuales no tengan

autorización.
 NORMAS APLICABLES AL ÁREA DE TECNOLOGÍA
 Establecimiento de mecanismos automáticos de bloqueo para las estaciones de
trabajo cuando estos estén inactivos por un tiempo determinado.

 Transcurridos 10 minutos de inactividad, el protector de pantalla del computador

se debe activar en forma automática exigiendo, que la persona ingrese su usuario
y clave para desbloquear el equipo.

 Se debe implementar un fondo de pantalla organizacional único para todos los

usuarios.

 La administración del fondo de pantalla y el proceso de bloqueo debe ser

centralizado y de responsabilidad de TI. Debe ser implementado por medio de
políticas de Active Directory.

 Bloquear el Usuario y el Activo de información del propietario, en caso de que se

encuentre de vacaciones, incapacitado o ausente.
 NORMAS APLICABLES A LOS USUARIOS

 Todos los usuarios son responsables de bloquear la sesión de su estación

de trabajo en el momento en que se retiren de su puesto, la cual se podrá
desbloquear sólo con la contraseña del usuario.

 Mantener la estación de trabajo libre de documentos, despejada y limpia.

 No dejar adhesivos y papeles con las claves de acceso pegados en la

pantalla o en lugares de fácil acceso por terceras personas.
 NORMAS APLICABLES AL ÁREA DE TECNOLOGÍA
 TI debe proveer herramientas tales como antivirus, antimalware, antispam,
antispyware, para reducir el riesgo de contagio de software malicioso y respalden la
seguridad de la información.

 Se debe asegurar que el software de antivirus, antimalware, antispam y antispyware

cuente con las licencias de uso requeridas, certificando así su autenticidad y la
posibilidad de actualización periódica de las últimas bases de datos de firmas.

 Se debe certificar que la información almacenada en la plataforma tecnológica sea

escaneada por el software de antivirus, incluyendo la información que se encuentra
contenida y es transmitida por el servicio de correo electrónico.

 TI debe asegurarse que los usuarios no puedan realizar cambios en la configuración

del software de antivirus, antispyware, antispam, antimalware.

 Se debe certificar que el software de antivirus, antispyware, antispam, antimalware,

posea las últimas actualizaciones y parches de seguridad, para mitigar las
vulnerabilidades de la plataforma tecnológica.
 NORMAS APLICABLES A LOS USUARIOS
 No deben cambiar o eliminar la configuración del software de antivirus, antispyware,
antimalware, antispam definida por TI; por consiguiente, únicamente podrán realizar
tareas de escaneo de virus en diferentes medios.

 Deben ejecutar el software de antivirus, antispyware, antispam, antimalware sobre

los archivos y/o documentos que son abiertos o ejecutados por primera vez,
especialmente los que se encuentran en medios de almacenamientos externos o que
provienen del correo electrónico.

 Los usuarios deben asegurarse que los archivos adjuntos de los correos electrónicos
descargados de internet o copiados de cualquier medio de almacenamiento,
provienen de fuentes conocidas y seguras para evitar el contagio de virus informáticos
y/o instalación de software malicioso en los recursos tecnológicos.

 Los usuarios que sospechen o detecten alguna infección por software malicioso
deben notificar a la Mesa de Ayuda, para que, a través de ella, TI tome las medidas de
control correspondientes.
 NORMAS APLICABLES AL ÁREA DE TECNOLOGÍA
 Se debe generar y adoptar los procedimientos para la generación, restauración,
almacenamiento y tratamiento para las copias de respaldo de la información,
velando por su integridad y disponibilidad.

 Se debe disponer de los recursos necesarios para permitir la identificación de los

medios de almacenamiento, la información contenida en ellos y la ubicación física
de los mismos para permitir un rápido y eficiente acceso a los medios que
contienen la información resguardada.

 Se debe llevar a cabo los procedimientos para realizar pruebas de recuperación a

las copias de respaldo, para así comprobar su integridad y posibilidad de uso en
caso de ser necesario.

 Se debe proporcionar apoyo para la definición de las estrategias de generación,

retención y rotación de las copias de respaldo de la los activos información.
 NORMAS APLICABLES A LOS USUARIOS

 Los propietarios de los recursos tecnológicos y sistemas de información

deben definir, en conjunto con TI, las estrategias para la generación,
retención y rotación de las copias de respaldo de los activos de
información.

 Es responsabilidad de los usuarios de la plataforma tecnológica del

identificar la información crítica que debe ser respaldada y almacenarla
de acuerdo con su nivel de clasificación, y guardarla en la unidad de Red
asignada a su usuario y departamento.

 El usuario deberá encriptar la información luego de realizar la

categorización de su información según POLITICA DE CLASIFICACION DE
ACTIVOS DE INFORMACION.
 NORMAS APLICABLES AL ÁREA DE TI

 Se debe definir los modelos de Acuerdos de Confidencialidad y/o de

Intercambio de Información entre el instituto incluyendo los compromisos
adquiridos y las penalidades civiles o penales por el incumplimiento de
dichos acuerdos.

 Se debe ofrecer servicios o herramientas de intercambio de información

seguros, así como adoptar controles como el cifrado de información, que
permitan el cumplimiento del procedimiento para el intercambio de
información, con el fin de proteger dicha información contra divulgación o
modificaciones no autorizadas.
 NORMAS APLICABLES A LOS USUARIOS

 Los usuarios no deben utilizar el correo electrónico como medio para

enviar o recibir información sensible de la organización o de sus
beneficiarios.

 No está permitido el intercambio de información de la organización por

vía telefónica o mensajería instantánea.
 NORMAS APLICABLES AL ÁREA DE TI
 Se debe generar y divulgar un procedimiento para la administración de cuentas de
correo electrónico.

 Se debe diseñar y divulgar las directrices técnicas para el uso de los servicios de
correo electrónico.

 Se debe proveer un ambiente seguro y controlado para el funcionamiento de la

plataforma de correo electrónico.

 Se debe establecer procedimientos e implantar controles que permitan detectar y

proteger la plataforma de correo electrónico contra código malicioso que pudiera
ser transmitido a través de los mensajes.

 TI, con el apoyo de la Recursos Humanos, debe generar campañas para

concientizar a los usuarios internos, respecto a las precauciones que deben
adoptar en el intercambio de información sensible o crítica por medio del correo
electrónico.
 NORMAS APLICABLES A LOS USUARIOS

 La cuenta de correo electrónico asignada es de carácter individual; por

consiguiente, ningún empleado provisto por un tercero, bajo ninguna
circunstancia debe utilizar una cuenta de correo que no sea la suya.

 Los mensajes y la información contenida en los correos electrónicos

deben ser relacionados con el desarrollo de las labores y funciones de
cada usuario.

 El correo institucional no debe ser utilizado para actividades personales.

 El correo electrónico es el único canal válido y oficial para el intercambio

de información ya sea externa o internamente.
 NORMAS APLICABLES AL ÁREA DE TI
 Se debe proporcionar los recursos necesarios para la implementación,
administración y mantenimiento requeridos para la prestación segura del servicio
de internet, bajo las restricciones de los perfiles de acceso establecidos.

 Se debe diseñar e implementar mecanismos que permitan la continuidad o

restablecimiento del servicio de Internet en caso de contingencia interna.

 Se debe monitorear continuamente el canal o canales del servicio de internet.

 Se debe establecer procedimientos e implementar controles para evitar la

descarga de software no autorizado, evitar código malicioso proveniente de
internet y evitar el acceso a sitios catalogados como restringidos.

 Se debe generar registros de la navegación y los accesos de los usuarios a internet,

así como establecer e implantar procedimientos de monitoreo sobre la utilización
del servicio.
 NORMAS APLICABLES A LOS USUARIOS
 Los usuarios del servicio de internet deben hacer uso del mismo en relación con
las actividades laborales que así lo requieran.

 Deben evitar la descarga de software desde internet, así como su instalación en las
estaciones de trabajo o dispositivos móviles asignados para el desempeño de sus
labores.

 No está permitido el acceso a páginas relacionadas con pornografía, drogas,

alcohol, hacking y/o cualquier otra página que vaya en contra de la ética moral, las
leyes vigentes o políticas establecidas por la organización.

 Se prohíbe el acceso y el uso de servicios interactivos o mensajería instantánea

como Facebook, MSN, Yahoo, y otros similares, que tengan como objetivo crear
comunidades para intercambiar información, o bien para fines diferentes a las
actividades propias de la organización.