1- La Política de Cultura de la Seguridad de la Información tiene como objetivo

concientizar a los usuarios sobre la importancia de proteger la información de la institución.

Destaca que la información es un recurso valioso y su pérdida puede causar daños económicos y de
imagen. Esta política se aplica al personal de la institución y terceras partes relacionadas. Se definen
los usuarios como aquellos que utilizan recursos informáticos de la institución.

El contenido incluye medidas de concientización como la distribución y actualización de las

políticas de seguridad, la responsabilidad del Encargado de Seguridad de la Información para
educar a todos los sectores sobre estos temas, y la capacitación sobre aspectos como identificación
de usuario y contraseña, seguridad de computadoras personales, clasificación y tratamiento de la
información, entre otros. También se abordan las novedades en seguridad y la forma en que se
deben comunicar a los usuarios afectados.

2- La Política para el Personal de la Dirección Nacional de Aduanas establece

directrices de seguridad para el personal, proveedores y visitantes, con el objetivo de gestionar
adecuadamente el acceso a la información al finalizar su relación laboral con la institución. Se
enfoca en medidas preventivas al contratar, trasladar o finalizar la relación laboral, así como en
establecer controles para informar cambios de personal y requerimientos informáticos.

El contenido incluye la transferencia o baja de personal, donde se detalla el proceso para notificar al
Encargado de Seguridad de la Información sobre desvinculaciones o traslados, la entrega de objetos
propiedad de la institución y la comunicación inmediata de suspensiones o despidos para inhabilitar
los permisos de acceso. También se aborda la seguridad de accesos, donde se coordina la remoción
de derechos de acceso en casos de desvinculaciones con acceso a datos altamente privados o
confidenciales, y se establece la revisión de documentación y archivos electrónicos al dar de baja a
un usuario.

3- La Política de Legalidad del Software tiene como objetivo establecer requisitos para
proteger la propiedad y regular el uso del software corporativo y de terceros. Se fundamenta en
contar con licencias homologadas para prevenir obligaciones legales y asegurar un uso adecuado
del software. Se aplica al personal de la Dirección Nacional de Aduanas y terceras partes asociadas.

El contenido incluye medidas sobre licencias de software, como respetar restricciones de uso y no
instalar software en computadoras no autorizadas. También aborda el cumplimiento de leyes de
derecho de autor y restricciones del fabricante. Se establecen procedimientos para la aprobación de
programas de libre uso, la instalación de software en las computadoras de la institución y la
propiedad del software desarrollado, que pertenece a la Dirección Nacional de Aduanas.

4- La Política de Informe de Incidentes tiene como objetivo establecer lineamientos para

abordar incidentes de seguridad, asegurando su resolución y previniendo su repetición. Se enfoca en
garantizar que el personal de la institución genere informes de incidentes ante posibles violaciones
de seguridad y participe en su solución.

Se aplica a todo el personal de la institución y terceros relacionados. El contenido incluye la

obligación de reportar cualquier mal funcionamiento de software/hardware que pueda comprometer
la integridad o confidencialidad de la información, así como problemas de seguridad o
vulnerabilidades. Se destaca la importancia de no comunicar información sobre violaciones de
seguridad a otros usuarios y terceros, y se establecen sanciones disciplinarias para quienes actúen en
contra de esta normativa.

En cuanto al manejo de incidentes de seguridad, se asigna al Encargado de Seguridad de la

Información la responsabilidad de conducir investigaciones, determinar la severidad del incidente y
tomar acciones correctivas junto con el Director de Tecnología de la Información y Comunicación.
Se resalta la necesidad de registrar detalladamente el curso de acción seguido para la solución de los
incidentes, realizar investigaciones en caso de delitos informáticos y preservar la integridad de la
evidencia para posibles acciones legales.

5- La Política de Excepciones tiene como objetivo establecer lineamientos para identificar y

gestionar excepciones a las políticas y normas de seguridad de la información, asegurando la
continuidad efectiva de las actividades del negocio.

Se fundamenta en reconocer que ciertas actividades de la institución pueden entrar en conflicto con
las políticas de seguridad y en proveer flexibilidad a las actividades de la institución. También
busca establecer criterios para cumplir con los casos de excepción.

Se aplica a todo el personal de la institución y terceros asociados. Los procedimientos de solicitud

de excepciones incluyen la documentación y justificación escrita de las solicitudes, así como la
obtención de las aprobaciones necesarias, con al menos la aprobación del Encargado de Seguridad
de la Información. Las excepciones deben tener un plazo de validez y ser reevaluadas al
vencimiento. Si persiste la necesidad de excepción, se pueden aprobar nuevos plazos.

En caso de que las excepciones evadan los controles existentes, se deben implementar nuevos
controles o compensar los existentes para minimizar los riesgos. El Encargado de Seguridad de la
Información debe ser informado de todas las situaciones en las que se violen los controles internos
de seguridad.

6- La política de uso de red y computadoras establece directrices para el uso adecuado de

recursos informáticos y de comunicación, así como para la protección de la información. Se aplica a
todo el personal de la Dirección Nacional de Aduanas y terceros relacionados. Algunos puntos
destacados incluyen:

1. Programas Antivirus: Se requiere que todos los dispositivos tengan instalados y activados
programas antivirus actualizados, con mecanismos de actualización periódica y verificación
regular de archivos.

2. Correo Electrónico: Se establecen normas éticas para la redacción de correos electrónicos y

se prohíbe su uso para enviar cadenas de mensajes, mensajes de seguridad no autorizados o
relacionarse con actividades ilegales.

3. Gestión de Usuarios: El acceso a los sistemas de información se otorga mediante normativas

vigentes y se asigna un identificador y contraseña a cada usuario, con la aprobación de su
superior.

4. Valores Predeterminados de los Sistemas: Los valores predeterminados de los sistemas

deben ser revisados para evitar posibles incidencias de seguridad, y las contraseñas
predeterminadas deben cambiarse antes de la implementación en producción.
 5. Encriptación: Se requiere la encriptación de todos los datos transmitidos por conexiones
sensibles y se establecen requisitos para terceros que se conecten a las computadoras o redes
de la institución.

6. Destrucción de la Información en Medios Electrónicos: Se establecen procedimientos para

la conservación y eliminación adecuada de información almacenada en dispositivos
temporales.

7. Almacenamiento de Información: Se definen medidas de seguridad física para proteger la

información confidencial y se establecen procedimientos para el almacenamiento de
información pública y confidencial.

8. Uso de Internet y Correo Externo: Se requiere autorización para casos especiales de

conectividad a Internet y se establecen medidas de seguridad para el uso de Internet y correo
electrónico externo, incluyendo la encriptación de la información.

9. Actividades No Relacionadas con el Negocio: Se prohíbe el uso de recursos informáticos de

la institución para actividades no relacionadas con el negocio y se establecen restricciones
sobre el uso personal de los equipos.

10. Uso de Computadoras Personales y Portátiles: Se requiere que todas las computadoras
personales y portátiles de la institución tengan imágenes institucionales como fondo de
escritorio y protector de pantalla, y se establecen responsabilidades para la custodia de los
dispositivos portátiles asignados a los usuarios.

7- Esta política de seguridad de la información establece lineamientos para proteger la

información de la institución almacenada, procesada y transmitida por equipos informáticos. Los
propietarios de procesos deben aplicarla para garantizar la protección de los recursos de
información contra accesos no autorizados. Algunos puntos importantes incluyen la prohibición de
la venta o divulgación de datos sin autorización, el tratamiento adecuado de la información confiada
por terceros, la aprobación previa para transferir información a terceros, y la restricción en la copia
de información confidencial en computadoras portátiles sin autorización. Además, se establecen
pautas sobre la propiedad de la información generada por los usuarios, la notificación de incidentes
de seguridad y la autorización necesaria para firmar acuerdos de confidencialidad con terceros.
También se otorga autoridad para examinar archivos personales de los usuarios en caso de sospecha
de actividades no autorizadas o eventos que afecten la seguridad.

8- Esta política de conexión y autenticación establece los requerimientos para acceder a

los recursos informáticos de la institución. Su objetivo es proteger los recursos de información
controlando el acceso de las personas a la información. Aplica al personal y terceras partes que
accedan y administren el acceso a los recursos de información de la institución.

Algunos puntos clave incluyen:

 Requisitos de acceso que deben ser autorizados por la Dirección de Tecnología de la

Información y Comunicación.

 Identificación de usuario y cambio de contraseñas, donde se establecen pautas para la

creación de contraseñas seguras y responsabilidades del usuario.
  Autenticación a través de diferentes medios como contraseñas, huellas dactilares o tarjetas
inteligentes.

 Certificados de acceso, responsabilidad de los propietarios de procesos y revisión periódica

por el encargado de seguridad de la información.

 Bloqueo de accesos en caso de intentos fallidos de contraseña o inactividad.

 Registros de auditoría para monitorear eventos relevantes de seguridad.

 Contraseñas iniciales temporales asignadas por la Dirección de Tecnología de la

Información y Comunicación.

 Eliminación de accesos, responsabilidad del encargado de seguridad de la información.

En resumen, esta política establece medidas para garantizar un acceso seguro y controlado a los
recursos informáticos de la institución, protegiendo así la información sensible y los sistemas de la
misma.

9- Esta política de acceso remoto establece los requisitos mínimos de seguridad y control
para acceder de forma remota a las redes de la institución. Su objetivo es definir las medidas
necesarias para proteger la información, sistemas y servicios informáticos, así como los datos,
durante el acceso remoto.

Algunos puntos importantes incluyen:

 La aprobación por parte del encargado de seguridad de la información de los mecanismos

que permiten el acceso remoto.

 La consideración de las normas de la política de conexión y autenticación para el acceso

remoto.

 El uso de métodos de encriptación de datos para el acceso remoto a través de Internet.

 La autorización del acceso remoto por parte del superior inmediato solo para aquellos
usuarios que lo necesiten para sus funciones.

 El estricto control de todo acceso a los puertos de comunicaciones.

 El acceso del encargado de seguridad de la información a registros actualizados de la

ubicación física de todos los canales de comunicación de datos.

 La prohibición del uso de cualquier otro dispositivo de conexión dentro de la red de la

institución sin la aprobación del encargado de seguridad de la información.

 La limitación del acceso de proveedores a los sistemas informáticos de la institución para el

desarrollo de sus actividades.

 La realización de acceso remoto a través de recursos informáticos de propiedad de la

institución o debidamente autorizados por el encargado de seguridad de la información.
En resumen, esta política establece medidas para garantizar la seguridad y el control durante el
acceso remoto a los recursos informáticos de la institución, protegiendo así la información y los
sistemas contra posibles amenazas.

10- Esta política de información impresa y formatos equivalentes establece

lineamientos para el manejo de información privada que esté en forma impresa o en otros formatos
similares. Su objetivo es proteger esta información desde su emisión hasta su eliminación.

Algunos puntos importantes incluyen:

 La aplicación de la política a todo el personal de la institución y terceras partes que manejen

información privada en formato impreso o equivalente.

 Definiciones clave como información impresa y formatos equivalentes, información privada

y pública.

 El respaldo de la información en formato impreso o equivalente según sea necesario para las
operaciones aduaneras.

 El mantenimiento de copias de información en números reducidos para facilitar su control y

distribución.

 La necesidad de resguardar la información no utilizada en compartimientos accesibles solo

para personal autorizado.

 La aplicación de medidas de seguridad adecuadas para la transferencia de información

impresa o en formatos equivalentes.

 La destrucción obligatoria de la información en forma impresa o equivalente cuando ya no

se necesite.

 El uso de máquinas destructoras de documentos o servicios de terceras partes para garantizar

la destrucción adecuada de la documentación.

En resumen, esta política busca garantizar la protección y manejo adecuado de la información

privada en formato impreso o equivalente, desde su creación hasta su eliminación, para evitar
cualquier riesgo de divulgación no autorizada o acceso no deseado.

11- Esta política sobre conexiones a redes externas establece requisitos para la
conectividad entre las redes internas y externas de la institución. Aquí están los puntos clave:

 Objetivo: Establecer los requerimientos para permitir la conectividad entre las redes
internas y externas de la institución.

 Fundamentos: Asegurar la integridad, confidencialidad y disponibilidad de la información

de la institución, sus proveedores y clientes, así como normar los requerimientos generales y
de conexión a Internet y Extranet.

 Alcance y Sectores de Aplicación: Aplicable al personal de la institución y terceras partes

asociadas.
  Contenido:

 Requerimientos Generales: Incluyen mantener los cambios en la configuración de

routers y firewalls de acuerdo con las políticas vigentes, deshabilitar funciones de
reenvío o re-enrutamiento de paquetes en servidores, proteger las direcciones
internas y datos relativos al diseño de la red, y filtrar direcciones IP en sistemas
operativos de firewalls y routers.

 Conexión a Internet y Extranet: Establece que todas las conexiones a Internet

deben pasar por servidores proxy y firewalls aprobados, revisión periódica de la
configuración de firewalls, comunicación de cambios críticos en la configuración,
instalación de firewalls en áreas de acceso restringido, aprobación de configuración
de firewalls para conexiones con redes de terceros, protección de computadoras
accesibles desde redes externas con software de control de acceso, identificación
satisfactoria de usuarios antes de atender solicitudes, restricción de conexiones
externas a necesidades requeridas, y prohibición de acceso ilimitado a personal de
terceros a computadoras o redes institucionales.

Esta política busca garantizar la seguridad y control en las conexiones entre las redes internas y
externas de la institución, protegiendo la información y previniendo accesos no autorizados.

12- Esta política de seguridad física establece lineamientos para proteger las instalaciones y
recursos de TI contra riesgos naturales o provocados por terceros. Aquí tienes un resumen de los
puntos clave:

 Objetivo: Proporcionar un ambiente físico adecuado para las instalaciones y recursos de TI

contra riesgos naturales o provocados por terceros.

 Fundamentos: Implementar medidas para asegurar la integridad física de los recursos de TI

de la institución y minimizar riesgos que puedan poner en peligro la vida de las personas y
las instalaciones.

 Alcance y Sectores de Aplicación: Aplicable en todo el ámbito de la institución.

 Contenido:

 Control de Acceso Físico: Establece medidas para restringir el acceso físico a las
instalaciones de TI, incluyendo la autorización de personas, registro de ingresos y
salidas, y control de visitantes.

 Modificaciones a las Instalaciones de TI: Requiere informar al encargado de

seguridad de la información sobre cambios estructurales en las instalaciones de TI
para evaluar posibles consecuencias en la seguridad física.

 Dispositivos de Seguridad: Se deben proporcionar dispositivos para solucionar

rápidamente incidencias mínimas, como interrupciones del suministro eléctrico,
comunicaciones, refrigeración, y detección y prevención de incendios e
inundaciones.
  Suministro Eléctrico: Las instalaciones de TI deben contar con UPS y generadores
de electricidad para mantener la operatividad ante cortes prolongados de electricidad,
además de implementar protecciones contra descargas eléctricas atmosféricas y
sistemas de aterramiento.

 Comunicaciones: Se deben contar con métodos alternativos de comunicación o

procesamiento en caso de incidencias con los medios de comunicación principales, y
los elementos de comunicación deben estar ubicados en lugares seguros y aislados.

 Refrigeración: Las instalaciones de TI deben contar con equipos de aire

acondicionado de precisión adecuados.

 Detección / Extinción de Incendios: Se deben instalar detectores de calor y humo,

extintores de incendios adecuados y realizar pruebas periódicas.

 Detección / Prevención de Inundaciones: Se deben tomar medidas para evitar

inundaciones y contar con medidores de humedad y temperatura en el área crítica de
TI.

 Seguridad Física de las Salas Técnicas: Se deben implementar controles de

humedad, temperatura, y detección de humo y fuego en las salas técnicas.

 Seguridad de Dispositivos de Información Fuera del Ámbito de Procesamiento:

Se deben proporcionar medidas de seguridad equivalentes para dispositivos fuera del
ámbito de la institución, como equipos portátiles, y contar con una adecuada
cobertura de seguro.

Estas directrices buscan garantizar la seguridad física de las instalaciones y recursos de TI de la

institución, así como minimizar los riesgos asociados a posibles incidentes.