POLITICAS DE SEGURIDAD INFORMATICA (PSI)

Las polticas de seguridad informtica tienen por objeto establecer las medidas de ndole tcnica y
de organizacin, necesarias para garantizar la seguridad de las tecnologas de informacin (equipos
de cmputo, sistemas de informacin, redes (Voz y Datos)) y personas que interactan haciendo
uso de los servicios asociados a ellos y se aplican a todos los usuarios de cmputo de la empresa.
Glosario de Trminos:
ABD
Administrador de Base de Datos.
ATI
Administradores de Tecnologa de Informacin (Help Desk). Responsables de la administracin de
los equipos de cmputo, sistemas de informacin y redes de la empresa. Vela por todo lo
relacionado con la utilizacin de equipos de cmputo, sistemas de informacin, redes informticas,
procesamiento de datos e informacin y la comunicacin en s, a travs de medios electrnicos.
Red
Equipos de cmputo, sistemas de informacin y redes de telemtica de la empresa.
Usuario
Cualquier persona (empleado o no) que haga uso de los servicios de las tecnologas de informacin
proporcionadas por la empresa tales como equipos de cmputo, sistemas de informacin, redes de
telemtica.

Objetivos
Dotar de la informacin necesaria a los usuarios, empleados y gerentes, de las normas y
mecanismos que deben cumplir y utilizar para proteger el hardware y software de la Red, as
como la informacin que es procesada y almacenada en estos.

Planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad
fsica de los recursos informticos, as como resguardar los activos de la empresa.

Los objetivos que se desean alcanzar luego de implantar las Polticas de Seguridad son los
siguientes:
Establecer un esquema de seguridad con perfecta claridad y transparencia bajo la
responsabilidad de los ATI en la administracin del riesgo.
Compromiso de todo el personal de La Empresa con el proceso de seguridad, agilizando la
aplicacin de los controles.
Que la prestacin del servicio de seguridad gane en calidad.
Todos los empleados se convierten en interventores del sistema de seguridad.

Las siguientes PSI estn elaboradas bajo los estndares de la norma ISO27002

1. POLITICAS DE SEGURIDAD LOGICA

Red

Las redes tienen como propsito principal servir en la transformacin e intercambio de

informacin dentro de la empresa entre usuarios, departamentos, oficinas y hacia afuera a
travs de conexiones con otras redes o con la empresa del Grupo.
El rea de Tecnologa no es responsable por el contenido de datos ni por el trfico que en
ella circule, la responsabilidad recae directamente sobre el usuario que los genere o solicite.
Nadie puede ver, copiar, alterar o destruir la informacin que reside en los equipos sin el
consentimiento explcito del responsable del equipo.
No se permite el uso de los servicios de la red cuando no cumplan con las labores propias
de la empresa.
Las cuentas de ingreso a los sistemas y los recursos de cmputo son propiedad de la
empresa y se usarn exclusivamente para actividades relacionadas con la labor asignada.
Todas las cuentas de acceso a los sistemas y recursos de las tecnologas de informacin
son personales e intransferibles. Se permite su uso nica y exclusivamente durante la
vigencia de derechos del usuario.
El uso de analizadores de red es permitido nica y exclusivamente por los ATI para
monitorear la funcionalidad de las redes, contribuyendo a la consolidacin del sistema de
seguridad bajo las Polticas de Seguridad.
Cuando se detecte un uso no aceptable, se cancelar la cuenta o se desconectar temporal
o permanentemente al usuario o red involucrada dependiendo de las polticas. La
reconexin se har en cuanto se considere que el uso no aceptable se ha suspendido.

SERVIDORES
Configuracin e instalacin
1. Los ATI tiene la responsabilidad de verificar la instalacin, configuracin e implementacin
de seguridad, en los servidores conectados a la Red.
2. La instalacin y/o configuracin de todo servidor conectado a la Red ser responsabilidad de
los ATI.
3. Durante la configuracin de los servidores los ATI deben genera las normas para el uso de
los recursos del sistema y de la red, principalmente la restriccin de directorios, permisos y
programas a ser ejecutados por los usuarios.
4. Los servidores que proporcionen servicios a travs de la red e Internet debern:
Funcionar 24 horas del da los 365 das del ao.
Recibir mantenimiento preventivo mnimo dos veces al ao.
Recibir mantenimiento semestral que incluya depuracin de logs.
Recibir mantenimiento anual que incluya la revisin de su configuracin.
Ser monitoreados por los ATI.
5. La informacin de los servidores deber ser respaldada de acuerdo con los siguientes
criterios, como mnimo:
Diariamente, informacin crtica.
Semanalmente, los documentos web.
Mensualmente, configuracin del servidor.
6. Los servicios hacia Internet slo podrn proveerse a travs de los servidores autorizados por
los ATI.

Correo Electrnico

Los ATI se encargarn de asignar las cuentas a los usuarios para el uso de correo
electrnico en los servidores que administra.
Para efecto de asignarle su cuenta de correo al usuario, el rea de Recursos Humanos
deber llenar una solicitud en formato establecido para tal fin y entregarlo al rea de
Tecnologa, con su firma y la del Gerente del rea.
La cuenta ser activada en el momento en que el usuario ingrese por primera vez a su
correo y ser obligatorio el cambio de la contrasea de acceso inicialmente asignada.
La longitud mnima de las contraseas ser igual o superior a 14 caracteres, que deber
contener como mnimo un signo, una mayscula y un nmero.
La reasignacin de cuenta de correo se har mediante la solicitud por escrito del jefe
inmediato.

Bases de Datos

El Administrador de la Base de Datos no deber eliminar ninguna informacin del sistema, a

menos que la informacin est daada o ponga en peligro el buen funcionamiento del
sistema.
El Administrador de la Base de Datos es el encargado de asignar las cuentas a los usuarios
para el uso.
Las contraseas sern asignadas por el Administrador de la Base de Datos en el momento
en que el usuario desee activar su cuenta, previa solicitud al responsable de acuerdo con el
procedimiento generado.
En caso de olvido de contrasea de un usuario, ser necesario que se presente con el
Administrador de la Base de Datos para reasignarle su contrasea.
La longitud mnima de las contraseas ser igual o superior a ocho caracteres, y estarn
constituidas por combinacin de caracteres alfabticos, numricos y especiales.

Help Desk (ATI)

Los ATI tendrn las siguientes atribuciones y/o responsabilidades:
Podrn ingresar de forma remota a computadoras nica y exclusivamente para la
solucin de problemas y bajo solicitud explcita del propietario de la computadora.
Debern utilizar los analizadores previa autorizacin del usuario y bajo la supervisin de
ste, informando de los propsitos y los resultados obtenidos.
Debern realizar respaldos peridicos de la informacin de los recursos de cmputo que
tenga a su cargo, siempre y cuando se cuente con dispositivos de respaldo.
Deben actualizar la informacin de los recursos de cmputo de la empresa, cada vez
que adquiera e instale equipos o software.
Deben registrar cada mquina en el inventario de control de equipos de cmputo y red
de la empresa.
Deben auditar peridicamente y sin previo aviso los sistemas y los servicios de red, para
verificar la existencia de archivos no autorizados, msica, configuraciones no vlidas o
permisos extra que pongan en riesgo la seguridad de la informacin.
Realizar la instalacin o adaptacin de sus sistemas de cmputo de acuerdo con los
requerimientos en materia de seguridad.

Reportar a la Gerencia los incidentes de violacin de seguridad, junto con cualquier

experiencia o informacin que ayude a fortalecer la seguridad de los sistemas de
cmputo.

Usuarios
Identificacin de Usuarios y contraseas
Todos los usuarios con acceso a un sistema de informacin o a la Red, dispondrn de una
nica autorizacin de acceso compuesta de identificador de usuario y contrasea.
Ningn usuario recibir un identificador de acceso a la Red, Recursos Informticos o
Aplicaciones hasta que no acepte formalmente la Poltica de Seguridad vigente.
El usuario deber definir su contrasea de acuerdo al procedimiento establecido para tal
efecto y ser responsable de la confidencialidad de la misma.
Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recurso que precisen
para el desarrollo de sus funciones, conforme a los criterios establecidos por La Gerencia.
La longitud mnima de las contraseas ser igual o superior a ocho caracteres, y estarn
constituidas por combinacin de caracteres alfabticos, numricos y especiales.
Los identificadores para usuarios temporales se configurarn para un corto perodo de
tiempo. Una vez expirado dicho perodo, se desactivarn de los sistemas.
El usuario deber renovar su contrasea y colaborar en lo que sea necesario, a solicitud de
los ATI, con el fin de contribuir a la seguridad de los servidores en los siguientes casos:
Cuando sta sea una contrasea dbil o de fcil acceso.
Cuando crea que ha sido violada la contrasea de alguna manera.
El usuario deber notificar a los ATI en los siguientes casos:
Si observa cualquier comportamiento anormal (mensajes extraos, lentitud en el
servicio o alguna situacin inusual) en el servidor.
Si tiene problemas en el acceso a los servicios proporcionados por el servidor.
Si un usuario viola las polticas de uso de los servidores, los ATI podrn cancelar totalmente su
cuenta de acceso a los servidores, notificando a La Gerencia correspondiente.

Responsabilidades Personales
Los usuarios son responsables de toda actividad relacionada con el uso de su acceso
autorizado.
Los usuarios no deben revelar bajo ningn concepto su identificador y/o contrasea a otra
persona ni mantenerla por escrito a la vista, ni al alcance de terceros.
Los usuarios no deben utilizar ningn acceso autorizado de otro usuario, aunque dispongan de
la autorizacin del propietario.
Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y
contrasea) est siendo utilizado por otra persona, debe proceder al cambio de su contrasea e
informar a su jefe inmediato y ste reportar al responsable de la administracin de la red.
El Usuario debe utilizar una contrasea compuesta por un mnimo de ocho caracteres
constituida por una combinacin de caracteres alfabticos, numricos y especiales.
La contrasea no debe hacer referencia a ningn concepto, objeto o idea reconocible. Por tanto,
se debe evitar utilizar en las contraseas fechas significativas, das de la semana, meses del
ao, nombres de personas, telfonos.
En caso que el sistema no lo solicite automticamente, el usuario debe cambiar la contrasea
provisional asignada la primera vez que realiza un acceso vlido al sistema.
En el caso que el sistema no lo solicite automticamente, el usuario debe cambiar su
contrasea como mnimo una vez cada 30 das. En caso contrario, se le podr denegar el

acceso y se deber contactar con el jefe inmediato para solicitar al administrador de la red una
nueva clave.
Proteger, en la medida de sus posibilidades, los datos de carcter personal a los que tienen
acceso, contra revelaciones no autorizadas o accidentales, modificacin, destruccin o mal uso,
cualquiera que sea el soporte en que se encuentren contenidos los datos.
Guardar por tiempo indefinido la mxima reserva y no se debe emitir al exterior datos de
carcter personal contenidos en cualquier tipo de soporte.
Utilizar el menor nmero de listados que contengan datos de carcter personal y mantener los
mismos en lugar seguro y fuera del alcance de terceros.
Cuando entre en posesin de datos de carcter personal, se entiende que dicha posesin es
estrictamente temporal, y debe devolver los soportes que contienen los datos inmediatamente
despus de la finalizacin de las tareas que han originado el uso temporal de los mismos.
Los usuarios slo podrn crear ficheros que contengan datos de carcter personal para un uso
temporal y siempre necesario para el desempeo de su trabajo. Estos ficheros temporales
nunca sern ubicados en unidades locales de disco del equipo de trabajo y deben ser
destruidos cuando hayan dejado de ser tiles para la finalidad para la que se crearon.
Toda solicitud para utilizar un medio de almacenamiento de informacin compartido, deber
contar con la autorizacin del jefe inmediato del usuario y del titular del rea duea de la
informacin.

Uso Apropiado de los Recursos

Los Recursos Informticos, Datos, Software, Red y Sistemas de Comunicacin estn disponibles
exclusivamente para cumplimentar las obligaciones y propsito de la operativa para la que fueron
diseados e implantados. Todo el personal usuario de dichos recursos debe saber que no tiene el
derecho de confidencialidad en su uso.
Queda Prohibido:
El uso de estos recursos para actividades no relacionadas con el propsito del negocio, o bien
con la extralimitacin en su uso.
Las actividades, equipos o aplicaciones que no estn directamente especificados como parte
del Software o de los Estndares de los Recursos Informticos propios de La empresa.
Introducir en los Sistemas de Informacin o la Red Corporativa contenidos obscenos,
amenazadores, inmorales u ofensivos.
Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o cualquier otro
dispositivo lgico o secuencia de caracteres que causen o sean susceptibles de causar
cualquier tipo de alteracin o dao en los Recursos Informticos.
Intentar destruir, alterar, inutilizar o cualquier otra forma de daar los datos, programas o
documentos electrnicos.
Albergar datos de carcter personal en las unidades locales de disco de los computadores de
trabajo.
Cualquier fichero introducido en la Red o en el puesto de trabajo del usuario a travs de
soportes automatizados, internet, correo electrnico o cualquier otro medio, deber cumplir los
requisitos establecidos en estas Polticas y, en especial, las referidas a propiedad intelectual y
control de virus.
El uso de los grabadores de discos compactos es exclusivo para respaldos de informacin que
por su volumen as lo justifiquen.

2. POLITICAS DE SEGURIDAD PERIMETRAL

La seguridad perimetral es uno de los mtodos posibles de proteccin de la Red, basado en el
establecimiento de recursos de seguridad en el permetro externo de la red y a diferentes niveles.
Esto permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos
o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.
Los ATI implementarn soluciones lgicas y fsicas que garanticen la proteccin de la informacin
de las compaas de posibles ataques internos o externos como ser:

Rechazar conexiones a servicios comprometidos

Permitir slo ciertos tipos de trfico (p. ej. correo electrnico, http, https).
Proporcionar un nico punto de interconexin con el exterior.
Redirigir el trfico entrante a los sistemas adecuados dentro de la intranet (Red Interna).
Ocultar sistemas o servicios vulnerables que no son fciles de proteger desde Internet
Auditar el trfico entre el exterior y el interior.
Ocultar informacin: nombres de sistemas, topologa de la red, tipos de dispositivos de red
cuentas de usuarios internos.

Firewall
La solucin de seguridad perimetral debe ser controlada con un Firewall por Hardware (fsico)
que se encarga de controlar puertos y conexiones, es decir, de permitir el paso y el flujo de
datos entre los puertos, ya sean clientes o servidores.
Este equipo deber estar cubierto con un sistema de alta disponibilidad que permita la
continuidad de los servicios en caso de fallo.
Los ATI establecern las reglas en el Firewall necesarias bloquear, permitir o ignorar el flujo de
datos entrante y saliente de la Red.
El firewall debe bloquear las conexiones extraas y no dejarlas pasar para que no causen
problemas.
El firewall debe controlar los ataques de Denegacin de Servicio y controlar tambin el nmero
de conexiones que se estn produciendo, y en cuanto detectan que se establecen ms de las
normales desde un mismo punto bloquearlas y mantener el servicio a salvo.
Controlar las aplicaciones que acceden a Internet para impedir que programas a los que no
hemos permitido explcitamente acceso a Internet, puedan enviar informacin interna al exterior
(tipo troyanos).
Conectividad a Internet
La autorizacin de acceso a Internet se concede exclusivamente para actividades de trabajo.
Todos los colaboradores de La empresa tienen las mismas responsabilidades en cuanto al uso
de Internet.

El acceso a Internet se restringe exclusivamente a travs de la Red establecida para ello, es

decir, por medio del sistema de seguridad con Firewall incorporado en la misma. No est
permitido acceder a Internet llamando directamente a un proveedor de servicio de acceso y
usando un navegador, o con otras herramientas de Internet conectndose con un mdem.
Internet es una herramienta de trabajo.
Todas las actividades en Internet deben estar en relacin con tareas y actividades del trabajo
desempeado.
Slo puede haber transferencia de datos de o a Internet en conexin con actividades propias del
trabajo desempeado.

Red Inalmbrica (WIFI)

Acceso a Funcionarios de La empresa:
La red inalmbrica es un servicio que permite conectarse a la red La empresa e Internet sin la
necesidad de algn tipo de cableado. La Red inalmbrica le permitir utilizar los servicios de
Red, en las zonas de cobertura de La empresa.
Donde adems de hacer uso del servicio de acceso a los sistemas, podrn acceder al servicio
de Internet de manera controlada.
Las condiciones de uso presentadas definen los aspectos ms importantes que deben tenerse
en cuenta para la utilizacin del servicio de red inalmbrica, estas condiciones abarcan todos
los dispositivos de comunicacin inalmbrica (computadoras porttiles, Ipod, celulares, etc.) con
capacidad de conexin Wireless.
Los ATI, son los encargados de la administracin, habilitacin y/o bajas de usuarios en la red
inalmbrica de La empresa.

Restricciones/prohibiciones de acceso a Internet

Con la finalidad de hacer un buen uso de la red inalmbrica, se aplicarn las siguientes
prohibiciones:
El uso de programas para compartir archivos (Peer to Peer).
El acceso a pginas de redes sociales.
El uso de sitios de videos en lnea o en tiempo real.
Debido a las limitaciones de ancho de banda existentes NO se permite la conexin a estaciones
de radio por Internet.
Uso de JUEGOS "on line" en la red.
Excepciones

En caso de eventos, cursos, talleres, conferencias, etc., se podrn habilitar equipos con acceso
a la red inalmbrica de manera temporal por el tiempo necesario previa solicitud de los
interesados con una anticipacin de por lo menos un da hbil.
En el caso de estos eventos las restricciones para acceder podrn ser anuladas
temporalmente previa solicitud expresa por parte de la parte interesada y con anticipacin de
por lo menos un da hbil.