Política Relacionadas a Procesos e Información

Enero 2019
 Objetivo: Definir reglas claras para el uso de los sistemas y de otros activos de
información.
 Cargo encargado de conceder y quitar permisos: Comité de Seguridad

Termino Definición
Servidores y clientes, infraestructura de red,
software del sistema y aplicaciones, datos y demás
subsistemas y componentes que pertenecen o son
Sistema de utilizados por la organización, o que se encuentran
información (SI) bajo responsabilidad de la organización, servicios
internos o externos, como el acceso a Internet,
correo electrónico, etc.

Los sistemas de información y demás información o

Activos de equipos, incluyendo documentos en papel,
Política de Uso Aceptable información teléfonos móviles, ordenadores portátiles, soportes
de almacenamiento de datos, etc.
(I)
  Uso aceptable: Los activos de información solamente pueden ser utilizados a
fines de satisfacer necesidades de negocios con el objetivo de ejecutar tareas
vinculadas con la organización.
 Prohibiciones:
Utilizar los activos de información de Instalar o utilizar dispositivos periféricos
manera tal que: como:
- Ocupen innecesariamente capacidad - Módems, tarjetas de memoria
- Disminuya el rendimiento del sistema - Otros dispositivos para
de información almacenamiento y lectura de datos
- Presente una amenaza de seguridad. (dispositivos USB)

 Descargar archivos de imágenes o vídeos que no sea de trabajo

 Enviar cadenas de correos electrónicos, jugar juegos.
 Instalar software en un ordenador sin el permiso del Comité de Seguridad.
 Utilizar aplicaciones Java, controles Active X y otros códigos móviles, solo si el
Comité de Seguridad lo autoriza.
Política de Uso Aceptable  Utilizar herramientas criptográficas (encriptado) sobre ordenadores locales.
 Descargar códigos de programa de soportes externos.
(II)
 Uso de activos fuera de Los equipos, la información o software solo pueden ser retirados
las instalaciones de las instalaciones con permiso del Comité de Seguridad

Finalización de un Devolución de activos a la finalización de un contrato.

Contrato
Procedimiento para - Registro de Copias de Seguridad
copias de seguridad - Registro de Pruebas de Copias de Seguridad
Instalar el Avira o Windows Defender con actualización
Protección antivirus automática activada.
- Acceder a los activos de SI que se tiene autorización por el
propietario del activo
Facultados para el uso de - Utilizar SI para las actividades que se autorizaron
sistemas de información - No realizar actividades que puedan eludir controles de
seguridad

Responsabilidades sobre - No permitir que otra persona utilice sus derechos de acceso
la cuenta de usuario - El usuario es responsable de su cuenta y de sus actividades

Responsabilidades sobre Los usuarios deben aplicar buenas prácticas de seguridad en

Política de Uso Aceptable la clave cuanto a la elección y uso de claves en base a Política de Claves.
(III) Política de pantalla y Los usuarios deben aplicar buenos hábitos de acuerdo con la
escritorio limpio Política de Pantalla y Escritorio Limpio.
 - Sólo se puede acceder a Internet a través de la red local de la
organización con la configuración necesaria.
- El acceso mediante módems, Internet móvil u otro tipo está
prohibido.
- Comité de Seguridad puede bloquear el acceso a determinadas
páginas.
Uso de Internet - Los usuarios deben de considerar no confiable la información de las
paginas web.
- El usuario es responsable de las consecuencias que surjan por el uso
no autorizado o inadecuado del uso de internet.

- Correo Corportativo, Slack, Algunos documentos de Google Drive,

SVN.
- Prohibido enviar materiales perturbadores, desagradables,
sexualmente explícitos, groseros, difamatorios o cualquier
Transferencia otro contenido inaceptable o ilegal.
de la - Si un usuario recibe un correo electrónico basura, debe
Información comunicarlo.
Política de Uso Aceptable - Proteger la información de acuerdo a la Política de Clasificación de
Información
(IV)
 - Los usuarios no deben realizar copias no autorizadas del software
que pertenece a la organización, excepto en los casos permitidos
por ley.
Derechos de autor - Los usuarios no deben copiar software ni otros materiales
originales de otras fuentes y son responsables de las consecuencias
legales de propiedad intelectual.

Computación móvil Las reglas básicas están descritas en la Política sobre Dispositivos
y Tele-Trabajo Móviles y Tele-Trabajo.
Todos los datos creados, almacenados, enviados o recibidos a través
del sistema de información, o de otro sistema de comunicación, de la
organización, incluyendo diversas aplicaciones, correo electrónico,
Supervisión del uso Internet, fax, etc., independientemente de si es personal o no, se
de sistemas de considera propiedad de Smart Reasons.
información y La organización puede utilizar herramientas especializadas
comunicación para identificar y bloquear métodos prohibidos de
comunicación y para filtrar contenidos prohibidos.

Política de Uso Aceptable Cada empleado, proveedor o tercero que esté en contacto con datos
y/o sistemas de Smart Reasons debe reportar toda debilidad del
(V) Incidentes sistema, incidente o evento que pudiera derivar en un posible
incidente.
 Objetivo: Definir cómo se controlan los cambios en los sistemas de información.
 Cargo encargado: Directorio
Cualquier cambio sobre sistemas operativos o de producción debe ser realizado de
la siguiente forma:

1 Los cambios pueden ser propuestos por: cliente, desarrollador, CPO, CIO, CTO

Los cambios deben ser autorizados dependiendo del nivel de impacto en el

siguiente orden: Scrum Master, PMO, CIO, Directorio, que deben evaluar su
2 justificación para el negocio y las potenciales consecuencias negativas sobre la
seguridad.

3 Los cambios deben ser implementados por el área respectiva.

El Inmediato Superior es el responsable de verificar que los cambios se han
4 implementado de acuerdo a los requerimientos.
El Inmediato Superior es el responsable de probar y verificar la estabilidad del
Política de Gestión de 5 sistema delegando así las actividades dependientes; el sistema no debe ser puesto
en producción antes de haber realizado pruebas exhaustivas.
Cambios La implementación de los cambios debe ser reportada a las siguientes personas:
6 Inmediato Superior, el cual se encargara de comunicar a los Stakeholder del cambio.
 Objetivo: Definir las reglas básicas para desarrollo seguro de software y sistemas.
 Cargo encargado de conceder y quitar accesos: Comité de Seguridad

Evaluar periódicamente:
- Los riesgos relacionados con el acceso no autorizado al ambiente de
desarrollo.
Evaluación de - Los riesgos relacionados con los cambios no autorizados sobre el
riesgos para el ambiente de desarrollo.
proceso de - Las vulnerabilidades técnicas de los sistemas de TI utilizados en la
desarrollo organización.
- Los riesgos que puede traer una nueva tecnología si se utiliza en la
organización.

- Se restringe el acceso al ambiente de desarrollo, pruebas y

Asegurar el producción de acuerdo a la Política de Control de Acceso.
ambiente de - La copia de seguridad de los mismos ambientes se describe en la
desarrollo Política de Creación de Copias de Seguridad.
Política de Desarrollo Los relojes de todos los sistemas de procesamiento de la información
Sincronización de
Seguro (I) Relojes (Desarrollo, Pruebas y Producción) están sincronizados.
 Se emitirá procedimientos para ingeniería segura de sistemas de
información, tanto para el desarrollo de nuevos sistemas como
para el mantenimiento de los sistemas existentes. Por ejemplo:
Principios de ingeniería - Lineamientos sobre técnicas de programación (independiente
segura para cada lenguaje de programación)
- Técnicas de autenticación de usuarios
- Control de sesión segura, validación de datos, etc.

Los sistemas de Información tienen especificaciones de

Requerimientos de requisitos: Nombre, versión del sistema, valor de impacto,
seguridad entradas, salidas, controles automáticos, controles manuales,
métodos de verificación y pruebas de los controles de seguridad

Se restringe el acceso de acuerdo a la Política Política de Control

Repositorio de Acceso.
El versionador es el Gitlab y el SVN, dos registros y un formulario
Control de versión que controlan la versión de los ambientes de Pruebas y
Producción.

Los cambios en el desarrollo y durante el mantenimiento de los

sistemas deben ser realizados de acuerdo con la Política de
Política de Desarrollo Control de cambios
gestión de cambios.
Seguro (II)
Capacitación necesaria en El Comité de Seguridad define el nivel de habilidades y
seguridad conocimientos en seguridad para el proceso de desarrollo.
Resumen – Políticas Relacionadas Procesos e Información
Política de Uso Aceptable
Definir reglas claras para el uso de los
sistemas y de otros activos de información.
Activos utilizados para fines empresariales
Prohibiciones, Uso de activos fuera de las
instalaciones y Finalización del Contrato
Copias de seguridad y Antivirus
Derechos de Usuario, Política de Claves y
Política de Pantalla y Escritorio Limpio
Uso del Internet, Transferencia de Datos,
Tele-trabajo, Derecho de Autor e Incidentes
COMITÉ DE SEGURIDAD
Política de Gestión de Cambios
Definir cómo se controlan los cambios en
los sistemas de información
Cambio sobre sistemas operativos o de
producción: 6 PASOS
Gestión de Cambios
DIRECTORIO
Política de Desarrollo Seguro
Evaluación de riesgos para el proceso de
desarrollo
Asegurar el ambiente de desarrollo
Sincronización de Relojes
Principios de ingeniería segura
Requerimientos de seguridad y
capacitación
Repositorio, Control de versión
COMITÉ DE SEGURIDAD