FOMENTANDO LOS SISTEMAS DE GESTIÓN

DE SINTEG en México S.A de C.V

1
 TEMAS A TRATAR
# TEMAS
1 Política y objetivos de los Sistemas de Gestión de SINTEG de México,
S.A. de C.V.
2 Estructura de los Sistemas de Gestión
3 Alcance de los Sistemas de Gestión
4 Conceptos Generales de los Sistemas de Gestión
5 Contexto de la Organización y Partes Interesadas
6 ¿Cómo se gestionan los riesgos de Seguridad?
7 ¿Qué es el SoA?
8 Plan de Gestión del Servicio
9 SLA del Cliente
10 Catálogo de Servicios

2
 POLÍTICA DEL SG

En Sinteg en México, S.A. de C.V., nos comprometemos con la Gestión de Soluciones, Soporte, Servicios y
Productos de Calidad en Tecnologías de la Información y Comunicaciones (TIC), Centro de Atención
Telefónica (CAT) y Mesa de Ayuda (Help Desk)
Mejorando continuamente para lograr: la satisfacción de nuestros clientes, el cumplimiento de los
objetivos establecidos, mantener la confidencialidad, integridad y disponibilidad de la información, la
eficiencia del servicio, monitoreando y optimizando los controles de seguridad y de los procesos, los
proveedores internos y externos
Considerando y cumpliendo los requisitos de nuestros clientes y los requisitos de las normas:

• ISO 9001:2015 Sistema de Gestión de Calidad.

• ISO/IEC 20000-1: 2018 Sistema de Gestión del Servicio.
• ISO/IEC 27001: 2013 Sistema de Gestión de Seguridad de la Información.

3
 ALCANCE DEL SGSI

El servicio, soporte y soluciones en las TIC del

Centro de Atención Telefónica, Call Center y
Mesa de Ayuda (Help Desk) de acuerdo a la
declaración de aplicabilidad SOA vigente

4
COMUNICACIÓN DE LA POLÍTICA DE CALIDAD DEL SGC

LA POLÍTICA DE LA CALIDAD DEBE:

a) Estar disponible y mantenerse como información documentada.

b) Comunicarse, entenderse y aplicarse dentro de la organización.
c) Estar disponible para las partes interesadas pertinentes, según
incumba.

5
COMUNICACIÓN DE LA POLÍTICA DE CALIDAD DEL SGC

1. En el primero se describen todos los requisitos que cumplen

política de la calidad, además se adecuarse a la empresa.

2. En el segundo se deben incluir todas las obligaciones que se

deben cumplir, como puede ser la disponibilidad de los
productos para las partes interesadas.

3. Se puede destacar que es un documento que se debe aplicar y

adecuar al contexto de la empresa, no solamente al propósito de
ésta.

6
 SISTEMA DE GESTIÓN Y SUS PROCESOS
Sinteg en México establece, implementa, mantiene y mejora continuamente un sistema de gestión de la calidad,
incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de esta Norma Internacional
ISO 9001:2015 y su equivalente mexicana NMX-CC-9001-IMNC-2015.

Sinteg en México:
a) determina los procesos necesarios para el sistema de gestión de la calidad, siendo estos;

Tipo de procesos Procesos

Procesos de la Dirección y de
Gestión de Riesgos, Responsabilidad de la dirección
la Administración

Clientes Piso-Laboratorio: mantenimiento correctivo y/o preventivo,

Procesos Operativos Contratos-Gobierno e IP: Mantenimiento correctivo y/o preventivo,
Help Desk / CAT y Digitalización.

Control de Producto no conforme, Auditoria Interna, Análisis de Datos,

Procesos de Mejora Continua Medición de Productos y de Procesos, Acciones correctivas y
preventivas y Satisfacción del cliente.

Procesos de Apoyo Información Documentada

7
 SISTEMA DE GESTIÓN Y SUS PROCESOS

Partes
Partes Interesadas
Interesadas

Satisfacción
Necesidades y
Ventas de convenio Atención a clientes de
expectativas de servicio
Mantenimiento

iniciativa privada Mesa de ayuda

correctivo Necesidades y
y preventivo piso
(Help Desk) (Laboratorio) expectativas
Clientes Licitación publica
e invitación
Mantenimiento
correctivo
Centro de Atención y preventivo
restringida de servicio Telefónica (CAT). (local y foráneo)
Requisitos
(SLA´s) Selección y evaluación
Compras
Depuración,
Digitalización e
de centros de servicio
foráneos
Indexación de
Documentos
Clientes
Almacén Proveedores
Proveedores
Cumplimiento
Requisitos de SLA´s
(ULC´s) pactados

8
 MAPA ESTRATEGICO DE PROCESOS
“CV”
CODIGO

PROCESOS DE
CONTROL

Seguimiento
Auditorias Control de
Revisión por de
Internas y Salidas no
la Dirección proveedores
Externas conformes
y contratistas
Seguimiento
Satisfacción Mejora Gestión de de procesos y
del Cliente continua riesgos productos

PROCESOS OPERATIVOS CLIENTES:

Gobierno (licitaciones).
Mantenimiento Iniciativa privada (contratos).
Ventas de convenio Atención a clientes
correctivo Fabricantes.
PROVEEDORES de PRODUCTOS de servicio
iniciativa privada y preventivo piso
• PROVEEDORES Mesa de ayuda (Laboratorio)
Refacciones. (Help Desk)
Licitación publica TIPOS DE SERVICIO:
Fabricantes. Mantenimiento
e invitación • Mantenimiento correctivo
correctivo
restringida de servicio y preventivo.
y preventivo
Centro de Atención (local y foráneo) • Mesa de ayuda.
PROVEEDORES de SERVICIOS Telefónica (CAT). (Help Desk).
• Paquetería. Selección y evaluación
de centros de servicio Depuración, • Depuración, Digitalización e
• Centro de servicios foráneos. Indexación de Documentos
foráneos Digitalización e
Compras Indexación de (Contratos).
Documentos • Centro de Atención
Almacén Telefónica (CAT).

PROCESOS DE APOYO O RECURSOS:

Comunicació
Reclutamient Soporte TI y Control de
ny
o y S. de Respaldos información Vigilancia
concientizaci
personal Mantenimien electrónicos documentada
ón
Capacitación, to vehicular Control de Administració
entrenamient e equipo de Limpieza
n, Finanzas y
o e inducción infraestructu medición Contabilidad
ra
10
11
12
 DECLARACIÓN DE APLICABILIDAD

Enunciado documentado que describe los objetivos de control y los

controles que son relevantes y aplicables al SGSI de la organización

13
14
15
 ¿QUÉ ENTENDEMOS POR SEGURIDAD DE LA
INFORMACIÓN?
La seguridad de la información, no solo es la protección a la infraestructura
tecnológica, sino también la protección de los activos de información que tienen valor
para la organización.

Un activo de información es aquel elemento que contiene o manipula datos y por

tanto debe protegerse.

16
 ACTIVOS DE INFORMACIÓN
DATOS:
Información que se manipula dentro de la Empresa, puede ser
en un medio físico o electrónico.

EQUIPOS:

Equipos utilizados para el procesamiento y

manejo de información (USB, Servidores, Desktop,
impresoras y equipos de comunicación)

PERSONAS:
Este es el activo principal.

17
 INDUCCIÓN AL SGSI (SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN)

18
 CONCEPTOS BÁSICOS

Confidencialidad: Propiedad de que la

información no esté disponible o se revela a
personas, entidades o procesos no autorizados.

C
Disponibilidad: Propiedad de ser
accesible y utilizable a petición de una
SI entidad autorizada.

I D Integridad: Propiedad de
proteger la exactitud y
completitud de los activos .

19
 OBJETIVOS DEL SGSI
ESTRUCTURA DEL OBJETIVO
ELEMENTO DESCRIPCIÓN
¿Qué se mide? Medir los respaldos de la información generada en Sinteg en México S.A. de C.V.

¿Cuál es el nivel de desempeño a lograr? 100% de cumplimiento

¿Cómo se calcula?
(Fórmula)
¿A partir de que se mide? (fuente)
¿Cuál es el parámetro de referencia?
[(Respaldos del día)-(Respaldos del día anterior)]/ Respaldos totales*100
Respaldos de información generados
Realizado
No Realizado

¿Quién lo mide? Gestor de Seguridad de la Información

¿Cómo es su seguimiento?
¿Dónde se encuentra la información
complementaria?
Recursos Requeridos
El Gestor de Seguridad de la Información es quien realiza los respaldos
Los respaldos se realizan cada tercer día
Instructivo para respaldo de la información
Disco duro de mínimo 2 TB
Conexión a la red
Programa URANIUM BACKUP

¿Cuáles son los Criterios de control Realizado: 100%

aplicables? No Realizado: 50%

20
 OBJETIVOS DEL SGSI
ESTRUCTURA DEL OBJETIVO
ELEMENTO DESCRIPCIÓN
¿Qué se mide? Medir la continuidad del servicio y la disponibilidad de los procesos cuando surja un incidente
¿Cuál es el nivel de desempeño a lograr? 85% de cumplimiento

¿Cómo se calcula? [(Tiempo total de la operación) – (Tiempo consumido por incidente)]/ (Tiempo Total productivo)*100
(Fórmula)
¿A partir de que se mide? (fuente) Tiempo tomado de los incidentes
Dentro de parámetros
¿Cuál es el parámetro de referencia? Fuera de parámetros
¿Quién lo mide? Gestor de Seguridad de la Información
El Gestor de Seguridad de la Información es quien realiza el seguimiento de la disponibilidad de los
¿Cómo es su seguimiento? procesos y la continuidad del servicio frente a los incidentes ocurridos para ofrecer un servicio de calidad
superando las expectativas del cliente buscando siempre la mejora continua
¿Dónde se encuentra la información Procedimiento de Disponibilidad y continuidad del servicio
complementaria?
Recursos Requeridos Luz, Internet, Equipos de Cómputo, Líneas Telefónicas
CRM
PBX

¿Cuáles son los Criterios de control Cumplido: 85%

Satisfactorio: 80%
aplicables? Necesita Mejora: 70%

21
 OBJETIVOS DEL SGSI
ESTRUCTURA DEL OBJETIVO
ELEMENTO DESCRIPCIÓN
¿Qué se mide? Medir el conocimiento de la cultura de seguridad de la información
¿Cuál es el nivel de desempeño a lograr? 80 % de Cumplimiento

(Cursos de capacitación realizados / Cursos de capacitación programados) x 100 = [ % ]

¿Cómo se calcula? Donde:
Cursos de capacitación realizados: número de cursos de capacitación ejecutados en el periodo
(Fórmula) establecido.
Cursos de capacitación programados: número de cursos de capacitación planeados para el personal.
Del Plan de Capacitación, incluyendo lista de asistencia de cursos,
¿A partir de que se mide? (fuente) Y las constancias de participación del personal.
Seguimiento al Plan de capacitación definido derivado de la Evaluación de Detección de Necesidades
¿Cuál es el parámetro de referencia? de Capacitación.
¿Quién lo mide? Gestor de Seguridad de la Información.
¿Cómo es su seguimiento? Seguimiento semestral al cumplimiento del plan de capacitación.
¿Dónde se encuentra la información ANX-SGSI-POS-001 Inducción Políticas de Seguridad de la Información
complementaria? PRC-SGI-CSI-007 Detección de Necesidades, Entrenamiento y Capacitación de Personal
Recursos Requeridos Detección de Necesidades de Capacitación
Capacitaciones planeadas y realizadas
Calendario de Cursos y Programa de Capacitación
Lista de Asistencia
Exámen de Capacitación
Constancias de capacitación
Material de apoyo
¿Cuáles son los Criterios de control Satisfactorio: 80%
Sobresaliente: 75%
aplicables? Necesita Mejora: 70%

22
 RIESGOS E INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN

23
 ¿QUÉ ES UN RIESGO E INCIDENTE DE SEGURIDAD DE LA
INFORMACIÓN?
RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN.

Se puede definir como la probabilidad de sufrir daños o pérdidas, este puede ser humano o no; en el ámbito
de la Seguridad de la Información se usa lo que se conoce como Plan de Tratamiento de riesgos de Seguridad
de la Información.

INCIDENTE DE LA SEGURIDAD DE LA INFORMACIÓN.

Se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de
información; un impedimento en la operación normal de la red, sistemas o recursos informáticos; o una
violación a la Política de Seguridad de la información.

Ejemplos:
• Ataques Externos.
• Ataques Internos.
• Desastres naturales.

24
 RIESGOS
Identificar y seleccionar
Inicio Identificar el nivel de riesgo controles y plan de
de acuerdo a la posibilidad tratamiento
de ocurrencia

Identificar el estado de
Identificar los activos
Identificar y describir implementación de
primarios
medidas de seguridad controles
existentes
Valorizar los Activos Revisar la eficacia de
Primarios controles
Identificar la prioridad del
tratamiento
Identificar los Activos
Identificar el riesgo residual
Secundarios de
vulnerabilidad Identificar al dueño del
riesgo
Incluir riesgos nuevos a la
Identificar el escenario de valoración de riesgos
riesgo Identificar la opción de
tratamiento de riesgo

Identificar el nivel de riesgo Identificar al o los Fin

de acuerdo al impacto responsable (s) del
(importante) tratamiento de riesgo
 INCIDENTES
INCIDENTES SOLICITUD
TIPO DESCRIPCIÓN TIPO DESCRIPCIÓN
Mayor Indisponibilidad grave Quejas Reclamación formal por
del servicio o parte del cliente
componente
Seguridad Robos, actividades Compra Compras de Activos,
sospechosas o Servicios o productos
maliciosas
Aplicaciones Indisponibilidad o Accesos y privilegios Asignación o cambios de
degradación de alguna privilegios de usuarios o
aplicación clientes
Telecomunicaciones Indisponibilidad de Información Atención sobre dudas del
servicio red, teléfonos o servicio y operación
internet
Infraestructura Daño a activos de la Cambios Cambios al servicio,
organización activos y documentales a
usuarios o clientes

26
 INCIDENTES
Inicio
Escalar y atender el
incidente

Notificar incidente o
solicitud Documentar la solución del
incidente o datos de la
solicitud y notificar a usuario
Registrar incidente o
solicitud

Cerrar el incidente o
solicitud

SI ¿Es un
incidente?
Registrar el aprendizaje

NO
Elaborar el informe del
proceso
Escalar y atender la solicitud

Evaluar el incidente
Fin

27
 RIESGOS POLÍTICAS
ESPECÍFICAS DEL SGSI
28
 RIESGOS POLÍTICAS DE DISPOSITIVOS
MÓVILES Y TELETRABAJO
29
 POLÍTICAS DE DISPOSITIVOS MÓVILES Y TELETRABAJO

LAPTOPS O TABLETAS ELECTRÓNICAS:

1. Registrar la información del equipo móvil en el inventario de activos.
2. Activar el bloqueo del equipo y el acceso mediante contraseña.
3. Contar con un antivirus actualizado.
4. No instalar software que permita la explotación de riesgos que comprometan la seguridad de la información o el
incumplimiento de leyes o regulaciones.
5. Realizar respaldo de la información de la organización cada 3 meses.
6. No utilizar funciones que permitan el “recordar contraseña o conexiones de red”.
7. No descuidar el equipo especialmente si no se cuenta con cable de seguridad.
8. No dejar el equipo en lugares que puedan ser susceptibles a robo (en lugares visibles dentro del auto, en lugares
públicos cafeterías, eventos, conferencias).
9. Bloquear el equipo cuando no permanezca cerca del mismo.
10. No exponer el equipo a cambios de temperatura drásticos.
11. Informar de inmediato al Área de Coordinación de Sistemas la pérdida o hurto del dispositivo, quién retirará los
accesos a los servicios de red y sistemas.
12. Permitir la verificación del cumplimiento de estas políticas por el área de Coordinación de Sistemas que realiza la
verificación.
30
 POLÍTICAS DE DISPOSITIVOS MÓVILES Y TELETRABAJO

EQUIPO MÓVIL:
1. Registrar la información del equipo móvil en el inventario de activos, especialmente el número IMEI.
2. Activar el acceso mediante Número de Identificación Personal – PIN por sus siglas en inglés, el cual se
solicita cuando se reinicia el equipo o se cambia el chip.
3. Únicamente se permite el uso de correo electrónico de la organización, el acceso a la red interna o
sistemas de la organización está prohibido por este medio.
4. Mantener el software del dispositivo actualizado, estas actualizaciones deben descargarse de sitio de
confianza.
5. No utilizar el celular como medio de almacenamiento de información de la empresa.
6. No mantener encendida la Función Bluetooth.
7. No se podrán hacer descargas, alteraciones y/o modificaciones al equipo.
8. No utilizar funciones que permitan el “recordar contraseña o conexiones de red”.
9. No exponer el equipo a cambios de temperatura drásticos.
10. Notificar el robo o pérdida del equipo al personal de infraestructura tecnológica.
11. Permitir la verificación del cumplimiento de estas políticas por el área de Coordinación de Sistemas.
12. Firmar una responsiva sobre el buen uso y cuidado del equipo (aplica a equipo propiedad de la empresa).
31
 POLÍTICAS DE DISPOSITIVOS MÓVILES Y TELETRABAJO

MEDIOS REMOVIBLES:
1. No almacenar la información confidencial en cualquier medio removible.
2. No utilizar los medios removibles como medios de almacenamiento permanentes.
3. Registrar la información del medio removible en el inventario de activos.
4. Contar con una carta responsiva del medio autorizado.
5. Analizar el dispositivo antes de uso para verificar que no cuente con virus o código malicioso.
6. No exponer el equipo a cambios de temperatura drásticos.
7. Permitir la verificación del cumplimiento de estas políticas por el área de Coordinación de Sistemas.
8. Eliminar la información del dispositivo cuando ya no sea requerida.
9. Notificar el robo o pérdida del medio al personal de Coordinación de Sistemas.
10. Firmar una responsiva sobre el buen uso y cuidado del medio.

32
 POLÍTICAS DE DISPOSITIVOS MÓVILES Y TELETRABAJO

TELETRABAJO
Cualquier persona que realice trabajo a distancia debe cumplir con los lineamientos que apliquen al tipo de
dispositivo, establecidos en las políticas de dispositivo móvil, política de control de acceso, política de pantalla y
escritorio limpio, así como las siguientes políticas:

1. Llevar un registro de la persona, entorno y el equipo autorizado para realizar trabajo a distancia.
2. Utilizar únicamente el equipo autorizado para el teletrabajo.
3. Crear una cuenta de usuario al equipo específico para fines laborales (Si se utiliza un equipo personal).
4. Activar mecanismos de control de acceso de esa cuenta y bloqueo del equipo mediante usuario y
contraseña.
5. Toda la información creada desde un equipo propiedad de Sinteg en México S.A. de C.V., por el perfil de
usuario para fines laborales (Si se utiliza un equipo personal) será considerada como propiedad de Sinteg
en México S.A. de C.V.
6. Almacenar la información de la organización en la NAS establecido por la organización.
7. Permitir y autorizar la instalación o configuración de software establecido por el área de Coordinación de
Sistemas, el cual permite proteger la información y el uso de la misma.
8. Desactivar las funciones de red como bluetooth, funciones de red que permitan compartir recursos o
33 archivos y activarlas cuando se necesiten.
 POLÍTICAS DE DISPOSITIVOS MÓVILES Y TELETRABAJO

1. Contar con un antivirus actualizado.

2. Activar el protector de pantalla del equipo, tiempo para bloquear el equipo 5 minutos.
3. Instalar y utilizar solo software conocido y confiable.
4. Mantener el software actualizado.
5. El horario para trabajo a distancia es abierto.
6. Mantener la configuración del software de acceso remoto establecida por la organización.
7. El acceso remoto a la red interna de la organización fuera del horario establecido se considera como
un caso urgente y se requiere de una notificación y autorización escrita (correo, mensaje de texto) del
Director General.
8. Cambiar las contraseñas de sistemas, y aplicaciones conforme a los lineamientos establecidos por la
organización.
9. No instalar software que permita la explotación de riesgos que comprometan la seguridad de la
información o el incumplimiento de leyes o regulaciones.
10. Permitir la verificación del cumplimiento de estas políticas por el área de Coordinación de Sistemas
que realiza la verificación.

34
 POLÍTICAS DE CONTROL DE ACCESO

35
 POLÍTICAS DE CONTROL DE ACCESO
Generales.
1. Todo acceso está restringido a menos que este expresamente permitido.
2. Identificar y registrar el acceso a los servicios de red y sistemas operativos o aplicaciones.
3. Utilizar mecanismos de autenticación para el acceso a redes de la organización como validación por
dominio, usuario y/o contraseña.
4. Retirar los accesos de personal que dejen de laboral en la organización.
5. Revisar los accesos cada 6 meses, después de cambios mayores o cuando se produzca un incidente de
seguridad.
6. Retirar los accesos cuando se considere que la seguridad de la información está comprometida.
7. Permitir la verificación del cumplimiento de estas políticas por el Área de Coordinación de Sistemas, la cual
realiza la verificación.

ACCESO A LOS SISTEMAS OPERATIVOS O APLICA.

8. Evitar proporcionar mensajes de ayuda durante el proceso de autenticación.
9. Limitar el número de intentos fallidos.
10. Evitar la visualización de contraseñas digitadas dentro de los sistemas.

36
 POLÍTICAS DE CONTROL DE ACCESO

GESTIÓN DE CONTRASEÑAS O INFORMACIÓN SECRETA E AUTENTICACIÓN.

1. La longitud de contraseñas debe ser al menos de 8 caracteres.
2. Forzar el cambio de contraseña en el primer inicio de sesión.
3. Evitar palabras que sean fáciles de adivinar como:12345, fecha de nacimiento, etc.

RESPONSABILIDAD DE USO DE CONTRASEÑAS O INFORMACIÓN SECRETA DE

AUTENTICACIÓN
4. No habilitar la función de “Recordar contraseñas”.
5. No compartir contraseñas.
6. No guardar las contraseñas en lugares fácilmente identificables.
7. Mantener secreta la información de autenticación.
8. Cambiar la información secreta de autenticación siempre que exista un indicio de riesgo.

37
 POLÍTICA SOBRE EL USO DE CONTROLES
CRIPTOGRÁFICOS

38
 POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS

CONTROLES DE CIFRADO:
El objetivo es garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, la
autenticidad y la integración de la información, en el caso de que algún intruso pueda tener acceso físico
a la información, se establece un sistema de cifrado de la misma para dificultar la violación.
Se implementan y administran claves de cifrado de datos y se identifica a un responsable para llevarlo a
cabo.
LA CLAVE DE LOS CONTROLES CRIPTOGRÁFICOS ESTA EN IDENTIFICAR:

1. Cifrar los archivos con información sensible o crítica utilizando la herramienta definida por la
Coordinación de Sistemas.
2. Se utilizará la herramienta local de Windows llamada bitlocker.
3. Gestión de las llaves.

39
 POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS

GESTIÓN DE LLAVES:
Los medios de cifrado implican mantener una gestión de claves criptográficas utilizadas por los medios de
cifrado.
La gestión de claves implica tener en cuenta el ciclo de vida completo:

1. La generación.
2. Su uso y protección.
3. La distribución.
4. La renovación o destrucción.

Parte de la función de gestión es determinar las fechas de activación y desactivación de las claves en
orden a reducir los riesgos mencionados anteriormente.

40
 POLÍTICA DE PANTALLA Y ESCRITORIO
LIMPIO

41
 Política de Pantalla y Escritorio Limpio
Prevenir el acceso no autorizado, pérdida y/o daño de la información que se encuentra en los puestos de trabajo,
equipos de cómputo, dispositivos de impresión y digitalización de documentos, mediante lineamientos establecidos
para que sean aplicados.

GENERALES
1. Mantener en orden su área de trabajo, asegurando que la información crítica o sensible se encuentre en un
lugar seguro cuando se ausente del lugar asignado.
2. Recoger de las impresoras los documentos con información crítica o sensible.
3. No dejar expuesta información de uso interno, critica o sensible cuando se reciban o encuentre cerca personal
externo, sin previa autorización.
4. Bloquear el equipo cuando se ausente del lugar asignado.
5. El área de Coordinación de Sistemas implementa el bloqueo automático de la sesión de usuario mediante el
Directorio Activo al transcurrir los 5 minutos de inactividad.
6. El escritorio o pantalla del equipo no debe tener accesos o archivos con información crítica o sensible, en la
medida de lo posible no debe tener accesos o archivos de uso interno.
7. Evitar dejar llaves u otro activo de acceso sobre el escritorio cuando se ausente del lugar asignado.

42
 POLÍTICA DE TRASFERENCIA DE
INFORMACIÓN

43
 POLÍTICA DE TRASFERENCIA DE INFORMACIÓN

TRANSFERENCIA DE INFORMACIÓN A PROVEEDORES O CLIENTES

1. En la medida de lo posible evitar el envío de información sensible o crítica a personal externo de la
organización.
2. Firma de un convenio de confidencialidad y acuerdo de transferencia de la información uso interno,
sensible o critica cuando se envíe a personal externo a la organización.

TRANSFERENCIA DE INFORMACIÓN DIGITAL O ELECTRÓNICA

3. Entregar de manera personal la transferencia de información sensible o critica, validar la autorización e
identidad de la persona quién recibirá la información.
4. Definir las herramientas para el envío de información de uso interno que cuenten con mecanismos de
acceso y privilegios.
5. Transferencia de información utilizando mecanismos de autenticación y protocolos de cifrado o seguros
como FTPs, HTTPs, SSL o TLS previa autorización.

44
 POLÍTICA DE TRASFERENCIA DE INFORMACIÓN

TRANSFERENCIA DE INFORMACIÓN DIGITAL O ELECTRÓNICA

1. Proporcionar la información secreta de autenticación vía telefónica, no dejar esa información en
contestadoras telefónicas ni buzones.
2. No se utilizarán las redes sociales o algún otro medio que no esté autorizado por la alta dirección como
medio para la transferencia de Información.
3. De manera interna se cuenta con un repositorio en el cual se tiene la información a compartir con otros
colaboradores.

TRANSFERENCIA DE INFORMACIÓN FÍSICA

4. Entregar de manera personal la información sensible, critica y/o solicitada, validando la autorización e
identidad de la persona quién recibirá la información.
5. En lo posible proteger la información utilizando un sobre cerrado, sin referencias sobre su contenido.

45
 POLÍTICA DE RESPALDO

46
 POLÍTICA DE RESPALDO
GENERALES.
El objetivo de las políticas es definir los lineamientos para realizar los respaldos y recuperación de la
información de los datos institucionales.

RESPALDO DE INFORMACIÓN.
1. Servidores físicos. Todo Servidor que se instale y configure en ambiente de producción debe estar
habilitado por Rol o Característica el servicio de Copias de seguridad de Windows Server para el
respaldo de datos o una tarea de respaldo.
2. Servidores virtuales. Todo servidor virtual (en producción) debe de contar con una tarea programada
de respaldo completo y/o de forma incremental de la información crítica y/o sensible de los usuarios,
esto mediante la herramienta de Uranium Backup.
3. Frecuencia de respaldos. Esta se define según la criticidad de la información en cada servidor, en este
caso se realizarán lunes, miércoles y viernes.

47
 POLÍTICA DE RESPALDO

Periodicidad de respaldos de la información de usuarios. Cada lunes se realiza un respaldo completo de

toda la carpeta, la información de cada uno de los usuarios debe de almacenarse en su carpeta asignada
por el área de Sistemas (\\ssslacie12\”usuario”) ahí solo deberá de estar solo la información sensible y
crítica.

RESTAURACIÓN DE LA INFORMACIÓN.
1. Aleatoriamente se deben de efectuar pruebas de restauración de los respaldos.
2. El usuario mediante un ticket o correo electrónico y previa autorización de su jefe directo puede
solicitar la restauración de archivos que hayan estado ubicados en la carpeta de respaldo
correspondiente.
3. El Gerente de área puede solicitar la restauración del respaldo realizado del personal que ha dejado
de laborar en la empresa.

48
 POLÍTICA DE SEGUIRIDAD PARA
PERSONAL VISITANTE O EXTERNO

49
 POLÍTICA DE SEGURIDAD PARA PERSONAL VISITANTE O EXTERNO

GENERALES
1. Registrar en la Bitácora de entrada y salida de externos y equipo, los siguientes datos: Fecha, nombre,
descripción (tipo de activo), marca, modelo, número de serie, hora de entrada, hora de salida y firma
del visitante que ingresa a las instalaciones.
2. Otorgar el acceso siempre y cuando la persona que se visita dé su autorización.
3. Entregar y revisar que el personal externo porte un gafete que lo identifique como tal durante su
instancia en las instalaciones.

ACCESO A INSTALACIONES CRÍTICAS

4. Vigilar siempre al proveedor externo durante su estancia en las instalaciones críticas por parte de un
representante de la empresa.
5. Evitar el uso de equipo tecnológico, de grabación o video dentro de las instalaciones críticas.

50
 POLÍTICA DE SEGURIDAD PARA PERSONAL VISITANTE O EXTERNO

ACCESO A LA INFORMACIÓN
1. Firma de un convenio de confidencialidad y acuerdo de transferencia de la información por parte del proveedor.
2. Cumplir con las medidas y protocolos de seguridad técnicas para la transferencia de la información.
3. Retirar el acceso otorgado cuando la seguridad de la información se vea comprometida o al finalizar el periodo autorizado.

USO DE LOS RECURSOS DE LA ORGANIZACIÓN

La organización debe comunicar las siguientes políticas al personal visitante por algún medio:

4. No Dañar física o lógicamente los equipos o la infraestructura informática.

5. No tomar fotografías sin previa autorización.
6. No utilizar los recursos de la organización sin previa autorización.
7. Evitar la descarga de programas, fotos, música, videos que no estén justificados durante su visita
8. No conectar, desconectar, desmantelar, retirar o cambiar partes, reubicar equipos o cambiar de configuración a los mismos
sin autorización.
9. No Instalar dispositivos de comunicaciones en los equipos e infraestructura tecnológica proporcionados por nombre de la
organización.
10. Realizar acciones o actividades que incumplan las leyes o regulaciones de seguridad de la información como: LFPDPPP, LPI
etc.
51
 POLÍTICA DE PROCESO DISCIPLINARIO

52
 PROCESO DISCIPLINARIO Y SANCIONES

1. Las sanciones serán aplicables para mantener el cumplimiento de las políticas y lineamientos de Sinteg en
México S.A. de C.V. y del Sistema de Gestión de Seguridad de la Información. Con la imposición de sanción se
busca:

a) Reparar los daños reputaciones y/o incumplimientos legales,

b) Reparar los daños o pérdida de la infraestructura, activos o de información de la organización y
clientes
c) Mitigar los efectos causados por la divulgación de información confidencialidad, secretos de negocio
que se consideren pongan en riesgos o ponga en desventaja la continuidad del negocio o la seguridad
de la información del cliente
d) Mitigar los efectos causados por la falta de disponibilidad

2. Las sanciones serán aplicables a todo el personal que tenga un acuerdo legalmente ejecutable con Sinteg en
México S.A. de C.V.

53
 PROCESO DISCIPLINARIO Y SANCIONES
3. Los criterios para la aplicación de sanciones son los siguientes:

IMPACTO CRITERIO SANCIONES

Bajo Degraden la funcionalidad del activo o proceso que pongan en riesgo la Llamada de atención
disponibilidad u ocasionen errores en el procesamiento de la información, o
deriven en una molestia del cliente
Medio Causen daño al cliente u organización, el cual pueda ser reparado de forma Acta administrativa
inmediata sin la asignación de recursos financieros.
Residencias de sanciones con impacto bajo
Alto Causen daño grave o pérdida al cliente o la organización, el cual requiera de Acta administrativa
la asignación de recursos financieros para mitigar el impacto. Recisión de contrato
Residencias de sanciones con impacto medio Acciones Legales

4. Las personas autorizadas para la aplicación de sanciones con impacto medio y alto son: Director General,
Comité de Seguridad de la Información. Las personas autorizadas para la aplicación de sanciones con
impacto bajo son: Jefe directo, Director General y Comité de Seguridad de la Información.

54
 PROCESO DISCIPLINARIO Y SANCIONES

Inicio
Ejecutar acción o aplicar sanción

Solicitar la participación para la

evaluación de un evento de seguridad de
la Información Resguardo de documentación

Fin
Evaluar el evento

Definir el tipo de sanción

55
 TOMA DE CONCIENCIA

La empresa se debe asegurar de que las personas que llevan a cabo

un trabajo bajo el control de la empresa tomen conciencia sobre:

a) La política de calidad.
b) Los objetivos de calidad pertinentes.
c) La contribución de la eficiencia del Sistema de Gestión de la
Calidad, se incluyen los beneficios de mejorar el desempeño.
d) Lo que implica incumplir los requisitos del Sistema de Gestión de
la Calidad.

56
 TOMA DE CONCIENCIA

Tomar conciencia sobre la calidad toma gran importancia en la nueva

ISO 9001:2015. Se habla mucho de todos los elementos sobre los que
se tiene que tomar conciencia y las consecuencias que puede acarrear
que no se cumplan los requisitos del Sistema de Gestión de la Calidad.

Todos los requisitos son aplicados a las personas que llevan a cabo un
trabajo bajo el control de la empresa. Las personas que realizan un
trabajo según el control de la empresa tienen que ser perfectamente
conscientes de la política de calidad, los objetivos de calidad que
persigue la organización también son relevantes, la forma en la que
constituyen a la eficiencia del Sistema de Gestión de la Calidad y las
implicaciones de no mantener los requisitos de dicho sistema.

57
 GRACIAS

58