uso responsable de los sistemas de informaciÓn · 2014-11-26 · uso responsable de los sistemas...

USO RESPONSABLE DE LOS SISTEMAS DE INFORMACIÓN

Código: GTEC_DOCI_001

HISTORIAL DE CAMBIOS

REVISIÓN FECHA DESCRIPCIÓN

07 19/04/2012 Revisión por Actualización – Inclusión Formatos

08 23/09/2013 Actualización: cambio de tipo de documento

09 24/06/2014 Actualización de cargos

ELABORÓ REVISÓ APROBÓ

Coordinador gestión tecnológica

Coordinador de Calidad Coordinador gestión tecnológica



Revisión: 9

Página: 2 de 16

INTRODUCCIÓN

La seguridad de Información se refiere a las medidas organizacionales, técnicas y sociales,

necesarias para proteger los activos de información contra el acceso no autorizado, divulgación,

duplicación, interrupción de sistemas, modificación, destrucción, pérdida, robo, o mal uso, que

se pueda producir en forma intencional o accidental.

1. ALCANCE

Este documento aplica a todas las personas vinculadas a la empresa que tengan acceso a los

sistemas de información, una vez terminado su contrato laboral deberán continuar protegiendo la

información de Construvicol S.A cumpliendo con las políticas de seguridad; de igual forma cualquier

otra persona contratistas, consultores, o terceras partes deben cumplir con las políticas

establecidas.

Estas políticas de seguridad de información cubren todos los activos de información que son

propiedad de CONSTRUVICOL S.A.

2. OBJETIVOS

Definir las directrices para el uso responsable de los sistemas de información en Construvicol S.A.

con el seguimiento de normas, políticas y buenas prácticas que salvaguarden la seguridad de

la información, sistemas de información y recursos tecnológicos de la empresa.

Reducir el riesgo de que en forma accidental o intencional se divulgue, modifique, destruya o

sean utilizados de forma inadecuada los activos de información.

3. TERMINOS / DEFINICIONES

Comunicaciones electrónicas: Incluyen todo uso de los sistemas de información para comunicar,

publicar material y contenido por medio de servicios como correo electrónico, páginas html,

o alguna herramienta similar.

Material no permitido: Incluye la transmisión, distribución o almacenamiento de todo material

que viole cualquier ley aplicable. Se incluye sin limitación, material protegido por derechos de

reproducción, marca comercial, secreto comercial, u otro derecho sobre la propiedad

intelectual utilizada sin la debida autorización y material que resulte obsceno, difamatorio o

ilegal bajo las leyes nacionales.

Redes: Incluye cualquier sistema de cableado o equipos físicos como enrutadores, switches,

además de varios sistemas electrónicos como redes de vídeo, datos, voz y dispositivos de

almacenamiento.



Revisión: 9

Página: 3 de 16

Sistemas de información: Sistema o aplicación de software que sea administrado por la empresa y

de los cuales ella es responsable, aplicaciones de servidores y escritorio, sistemas operativos y

aplicaciones de Internet.

Usuario(s): incluye toda aquella persona no necesariamente vinculada a la empresa, a quien el

área de sistemas proporcione los medios y niveles de autorización y acceso necesarios para

hacer uso de los servicios o sistemas de información de ésta (personal administrativo, operativos,

directivos, etc.)

4. GENERALIDADES

El acceso a los sistemas de información de Construvicol S.A son un privilegio y no un derecho, y debe

ser tratado de esta manera por todos los usuarios de dichos sistemas. Los usuarios deben actuar

honesta y responsablemente. Cada usuario es responsable por la integridad de estos recursos y

tiene el deber de respetar los derechos de otros usuarios, la integridad de las instalaciones físicas y

sus mecanismos de control, además de respetar toda licencia pertinente y acuerdo contractual que

esté relacionado con los sistemas de información de la empresa.

Todos los usuarios deberán actuar de acuerdo con estos lineamientos y las leyes nacionales

pertinentes. El incumplimiento de estas directrices puede resultar en la negación de acceso a los

sistemas de información de la empresa o a otras acciones disciplinarias o legales.

La empresa puede restringir o prohibir el uso de sus sistemas de información en cualquier caso en el

que se demuestre alguna violación de estas políticas o de alguna ley.

5. USO ADECUADO DE LOS RECURSOS DE INFORMACIÓN.

Se deben utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o

función, las facultades que le sean atribuidas, o la información reservada a que tenga acceso

por razón de su función, en forma exclusiva para los fines a que están destinados.

Se debe custodiar y cuidar la documentación e información que por razón de su empleo, cargo

o función conserve bajo su cuidado o a la cual tenga acceso, e impedir o evitar la sustracción,

destrucción, ocultamiento o utilización indebidos.

Se debe vigilar y salvaguardar los bienes y valores que le han sido encomendados y cuidar que

sean utilizados debida y racionalmente, de conformidad con los fines a que han sido destinados.

Debe existir en todo contrato de trabajo, la norma jurídica de una cláusula adicional

para que cada miembro de la empresa se comprometa a utilizar en forma correcta los



Revisión: 9

Página: 4 de 16

recursos, asegurando que conoce las políticas y procedimientos así como las respectivas

sanciones por su incumplimiento.

6. USO DE HARDWARE Y SOFTWARE DE LA EMPRESA

Los sistemas de información de la empresa son primordialmente para uso de asuntos

relacionados con la misma.

El uso personal de cualquier sistema de información para acceder, descargar, transmitir,

distribuir o almacenar material obsceno está enteramente prohibido.

Se requiere autorización previa por parte de la alta dirección para el uso personal o uso por

fuera de los límites o de las políticas establecidas, de los recursos y sistemas de información de

la empresa.

El uso de los recursos de sistemas de información o equipos que tenga como objetivo cualquier

tipo de ganancia económica personal para cualquier usuario está prohibido.

7. ACCESO A LA RED DE LA EMPRESA Y A SUS SERVICIOS

El acceso a los sistemas de información deberá contar con la autorización

del Jefe del área.

Las identificaciones y claves de acceso a la red de la empresa, la intranet o a cualquier otro

sistema de información son propiedad de la empresa. Estas identificaciones y claves son para

uso estrictamente personal y la responsabilidad de su correcto uso recae exclusivamente en el

usuario al que se le asignen.

Nadie debe usar la identificación, identidad o contraseña de otro usuario, de igual forma ningún

usuario debe dar a conocer su contraseña o identificación a otro, excepto en casos que faciliten

la reparación o el mantenimiento de algún servicio equipo al responsable de sistemas.

No es permitido el acceso no autorizado a los sistemas de información de la empresa.

Cuando un usuario termina su vinculación con Construvicol SA, sus identificaciones y

contraseñas para todos los sistemas de información se eliminaran.

El usuario no deberá sin permiso escrito por la alta dirección hacer modificaciones a la red de

datos, intranet o a sus recursos. No se permitirá ningún intento de vulnerar o de atentar contra

los sistemas de protección o de seguridad de la red. Ante cualquier acción de este tipo la

empresa procederá a ejecutar cualquier acción de carácter administrativo, laboral, penal y/o

civil que corresponda.



Revisión: 9

Página: 5 de 16

En la red de datos no está permitida la operación de software para la descarga y distribución de

archivos de música, videos y similares. Cualquier aplicación de éste tipo que requiera ser

utilizada, deberá ser previamente consultada con el área de sistemas.

El acceso a internet en la empresa debe hacerse desde una estación debidamente registrada

y/o autorizada por el área de gestión tecnológica de Construvicol SA. Dicho de otra forma, el

computador debe estar registrado dentro de la red informática y estar localizado con una

dirección IP legítima.

8. USO INDEBIDO DE LAS REDES, LAS COMUNICACIONES ELECTRÓNICAS Y SISTEMAS DE

INFORMACIÓN.

El uso indebido de cualquiera de estos tres elementos está prohibido e incluye:

Intentar instalar u operar puntos de acceso inalámbricos (Access point) o puntos

conectados a la red cableada de Construvicol SA sin la autorización del responsable de gestión

tecnológica.

Intentar modificar, reubicar o sustraer del lugar donde han sido instalados o configurados,

equipos de cómputo, software, información o periféricos sin la debida autorización.

Acceder sin la debida autorización de la alta dirección a través del centro de informática,

mediante computadores, software, información o redes de la empresa, a recursos externos o

internos que pertenezcan a Construvicol SA (bases de datos, sistemas de información, redes

externas a las cuales esté vinculada la empresa).

Transgredir o burlar las verificaciones de identidad u otros sistemas de

seguridad.

Utilizar los sistemas de información para propósitos ilegales o no

autorizados.

Enviar cualquier comunicación electrónica fraudulenta.

Violar cualquier licencia de software o derechos de autor, incluyendo la copia o

distribución de software protegido legalmente sin la autorización escrita del

propietario del software.

Usar las comunicaciones electrónicas para violar los derechos de propiedad de los autores.

Usar las comunicaciones electrónicas para acosar o amenazar a los usuarios de la empresa o

externos, de alguna manera que sin razón interfiera con el desempeño de los empleados.

Usar las comunicaciones electrónicas para revelar información privada sin el permiso explícito

del dueño.

Leer la información o archivos de otros usuarios sin su permiso.



Revisión: 9

Página: 6 de 16

Alterar o falsificar de manera fraudulenta los registros de la empresa (incluyendo registros

computarizados, permisos, documentos de identificación, u otros documentos o propiedades).

Usar las comunicaciones electrónicas para dañar o perjudicar de alguna manera los recursos

disponibles electrónicamente.

Usar las comunicaciones electrónicas para apropiarse de los documentos de otros usuarios.

Lanzar cualquier tipo de virus, gusano, o programa de computador cuya intención sea hostil o

destructiva.

Descargar o publicar material ilegal, con derechos de propiedad o material

nocivo usando un computador o correo electrónico de la empresa.

Transportar o almacenar material con derechos de propiedad o

material nocivo utilizando las redes de datos de Construvicol SA.

Utilizar cualquier sistema de información de la empresa para acceder,

descargar, imprimir, almacenar, redirigir, transmitir o distribuir material obsceno.

Violar cualquier ley o regulación nacional respecto al uso de sistemas de información.

Instalar o usar software de espionaje, monitoreo de tráfico o programas maliciosos en la red de

la empresa.

Introducir cualquier tipo de programas o instalar cualquier software sin la autorización

del área de Gestión Tecnológica.

Efectuar violaciones a la seguridad o interrupciones de la comunicación de la red. Las violaciones

de la seguridad incluyen “sniffer”, “floodeos”, “packet spoofing”, negación del servicio (DOS),

manipulación de ruteo, etc.

Evitar o interceptar la autenticación de cualquier usuario por cualquier método. Usar cualquier

método (exploits, scripts, comandos) para acceder a recursos a los que no se tiene acceso a

áreas protegidas.

9. PRIVACIDAD

La privacidad de los usuarios no está garantizada. Cuando los sistemas de información de la

empresa funcionan correctamente, un usuario puede considerar que sus datos generados son

información privada, a menos que él mismo realice alguna acción para revelarlos a otros. Los

usuarios deben estar conscientes sin embargo que ningún sistema de información es

completamente seguro, por lo cual personas dentro y fuera de la empresa pueden encontrar

formas de tener acceso a la información.

DE ACUERDO CON ESTO, LA EMPRESA NO PUEDE, Y NO GARANTIZA LA PRIVACIDAD DE LOS

USUARIOS.



Revisión: 9

Página: 7 de 16

10. REPARACIÓN Y MANTENIMIENTO DE EQUIPOS.

El área de gestión tecnológica tiene la autoridad para acceder archivos individuales o datos cada

vez que deban realizar mantenimiento, reparación o chequeo de equipos de computación. Sin

embargo el personal de gestión tecnológica no puede exceder su autoridad en ninguna de estas

eventualidades para usar esta información con propósitos diferentes al de mantenimiento y

reparación.

11. RESPUESTA AL USO INDEBIDO DE COMPUTADORES Y SISTEMAS DE INFORMACIÓN.

Cuando por alguna causa razonable se sospeche de algún tipo de uso indebido de los sistemas , el

área de gestión tecnológica puede acceder a cualquier cuenta, datos, archivos, o servicio de

información perteneciente a los involucrados en el incidente, para investigar y de acuerdo a

los hallazgos o evidencias dar traslado a la dirección del programa y/o área de gestión humana,

para que éstos de acuerdo al marco de actuación, reglamentos, normas y políticas de la empresa

apliquen las sanciones respectivas. Los miembros del área de gestión tecnológica está en la

obligación de monitorear constantemente los sistemas de información de la empresa a través de

los medios correspondientes para responder oportunamente a cualquier acción que atente contra la

integridad, disponibilidad, seguridad y desempeño correcto de los mismos mediante la negación,

restricción de acceso a usuarios o sistemas, aislamiento y desconexión de equipos o servicios. Los

incidentes deben ser informados a la Vicepresidencia Administrativa y financiera o a quien haga sus

veces con la mayor cantidad de evidencia posible, para tomar las medidas correspondientes.

Monitoreo de la red de datos y los servicios. Debido a que la empresa se esforzará en mantener la

privacidad de las comunicaciones y un nivel de servicio apropiado, el área de sistemas monitoreará

la carga de tráfico de la red y cuando sea necesario tomará acción para proteger la integridad y

operatividad de sus redes. Progresivamente se restringirán usuarios y aplicaciones no esenciales

cuando su utilización de la red resulte en la degradación del rendimiento. Tal restricción será

notificada a los usuarios a través de medios apropiados.

12. INSTALACION Y USO DE SOFTWARE

De acuerdo con las normas locales e internacionales relativas a los

derechos de propiedad intelectual, el único software que será instalado

en el computador del usuario será aquel que previamente haya sido

estandarizado y/o autorizado por la empresa y para lo cual ésta dispone de las licencias

respectivas a su nombre.

Todo usuario está obligado a conocer el alcance de uso de cada una de las licencias de software

a su disposición. De esta manera el usuario conoce lo que le es permitido y prohibido en cuanto



Revisión: 9

Página: 8 de 16

al uso del software y será responsable ante la empresa y/o ante terceros del uso que haga del

mismo.

El usuario no deberá participar en la copia, distribución, transmisión o cualquier otra práctica

no autorizada en las licencias de uso de software.

No es permitido la instalación de software de “dominio público” o de “distribución libre”

(Shareware y Freeware) sin la debida autorización del área de gestión tecnológica y la

vicepresidencia administrativa y financiera.

Administrativa.

Toda instalación, desinstalación o traslado de software (incluyendo aquellos de “dominio

público” o de “distribución libre”) desde y hacia un equipo de la empresa requiere autorización

y coordinación previas con el área de Gestión tecnológica.

Cualquier software que se haya instalado en un equipo de la empresa que no cumpla con lo

estipulado anteriormente, será desinstalado sin que ello derive ninguna responsabilidad para

la empresa.

13. CORREO ELECTRONICO E INTERNET

Políticas de Acceso

Todas las políticas incluidas en este documento son aplicables al correo electrónico

de la empresa. El correo electrónico debe usarse de manera profesional y cuidadosa

dada su facilidad de envío y redirección.

El correo electrónico es un servicio y recurso provisto por Construvicol a su personal para fines

laborales. Cualquier uso personal ha de ser de naturaleza incidental y no ha de interferir con las

actividades de Construvicol.

El acceso a Internet, sólo se debe autorizar para el personal de Construvicol y es de carácter

personal e intransferible. El acceso a personal diferente debe contar con la autorización de la

Vicepresidencia administrativa y financiera.

Los usuarios deben ser especialmente cuidadosos con los destinatarios colectivos y los foros de

discusión. Las leyes de derechos de autor y licencias de software también aplican para el correo

electrónico.

Los mensajes de correo electrónico de la empresa (dominio construvicol.com) deben ser

borrados una vez que la información contenida en ellos ya no sea de utilidad.

Participar en una cadena de correos es una violación seria a las políticas de uso aceptable.



Revisión: 9

Página: 9 de 16

En ningún caso es permitido suplantar cuentas de usuarios ajenos.

La creación, modificación y eliminación de una cuenta de correo o de internet, será autorizada

por el Jefe inmediato del colaborador a través de correo electrónico.

Los mensajes de correo electrónico deben enviarse mostrando al final el nombre completo del

usuario remitente, su cargo y el nombre de la Compañía.

Construvicol reconoce que los usuarios del correo electrónico tienen un

gran interés en su privacidad con respecto a los mensajes que se envían

o se reciben. Debe existir respeto a la privacidad de los usuarios del

correo electrónico. Consecuentemente, los usuarios pueden suponer que

sólo los destinatarios leen su correspondencia electrónica, excepto en las

circunstancias que se describen a continuación.

El Coordinador de gestión tecnológica no leerá o facilitará a otra persona que lea el contenido

de ningún archivo de correo electrónico del personal sin obtener el permiso del usuario,

excepto en caso que exista un motivo razonable para hacerlo. Dichos motivos pueden incluir,

sin limitarse a ello, si el usuario está ausente durante un período prolongado de tiempo debido

a enfermedad u otro motivo o para mantener la integridad del sistema (tal como la eliminación

de virus), cumplir obligaciones legales (tal como citaciones judiciales) y efectuar ciertas

funciones de administración del sistema.

La Empresa se reserva el derecho de vigilar cualquier tráfico de correo electrónico que pase a

través de su sistema, como parte de sus actividades de vigilancia, mantenimiento,

investigación, auditoría o seguridad. Todo el personal debe estar consciente de esto cuando

use el correo electrónico.

No se debe realizar conexión a Internet mientras no se cumpla con la condición de que exista

un Firewall de seguridad implementado y probado para asegurar que únicamente pasa tráfico

autorizado.

El usuario no puede utilizar una conexión privada a Internet (vía Celular, Modem, etc.) a través

de las estaciones de trabajo conectadas simultáneamente a la red de Construvicol. Es

obligatoria la desconexión física y lógica de la red de la Compañía cuando se utilice este medio

de comunicación paralelo con el uso de las redes de la Empresa, y debe existir la aprobación de

dicha conexión por parte de la vicepresidencia administrativa y financiera y del Coordinador de

gestión tecnológica.

En los equipos portátiles que se piensen utilizar para realizar conexiones a Internet (incluye las

conexiones desde su sitio de residencia) donde no se puede asegurar la existencia de un

Firewall, se debe implementar un Firewall personal.

Cualquier acceso particular a internet debe ser revisado a intervalos regulares para confirmar



Revisión: 9

Página: 10 de 16

que el requerimiento aún existe.

El usuario no puede eliminar el historial de internet automáticamente, ni manualmente ni por

programas de limpieza de archivos temporales de internet, cookies, contraseñas, formularios,

etc.

14. POLÍTICAS DE USO

La conexión al correo electrónico y servicios de navegación por internet debe ser suministrada

para el uso de personal autorizado únicamente para propósitos del negocio. En todas las

ocasiones los intereses y el buen nombre de la compañía deben ser protegidos.

El correo electrónico y el software navegador de Internet deben ser utilizados únicamente para

propósitos genuinos del negocio aprobados por la alta dirección y no deben ser utilizados para

acceso personal o privado.

La utilización de encripción de datos y autenticación de mensajes será necesaria para proteger

datos clasificados y transacciones especiales. Las tecnologías para realizar estos procedimientos

serán recomendadas por el Coordinador de gestión tecnológica.

Los empleados que colocan información de la compañía disponible en internet, por ejemplo en

el Home page, deben tener todo el material aprobado previa y formalmente por la alta

dirección de la compañía para su publicación en Internet.

Cuando se utilice correo electrónico por Internet en asuntos laborales, debe existir

claridad en que algunos puntos de vistas expresados pueden ser de los individuos y no

representan necesariamente la política o la opinión de la compañía.

La responsabilidad de evaluar la existencia de virus, en forma adecuada y con el Software

antivirus de la Organización, en toda la información que provenga de Internet recae

directamente sobre el usuario. Este proceso debe ser realizado antes de abrir o ejecutar los

archivos así como antes de divulgarlos a través de la red, con el fin de no propagar virus

informáticos u otros programas.

Los procedimientos para la eliminación de virus que estén incorporados a sus PC no deben

desactivarse. Los usuarios del correo electrónico son responsables de tomar las precauciones

necesarias para prevenir la contaminación de virus provenientes de archivos adjuntos a

mensajes de correo electrónico o cualquier interrupción al sistema de comunicación. Para

lograrlo, deben correr regularmente el programa antivirus incorporado en sus PC.

El Coordinador de gestión tecnológica velará por la protección de la información de

Construvicol, sin embargo el contenido de los archivos enviados a través de Internet será

directamente responsabilidad del usuario.



Revisión: 9

Página: 11 de 16

15. ACTIVIDADES PROHIBIDAS.

Los sistemas de correo electrónico y navegación por Internet de Construvicol, no deben ser

utilizados para transmisión o recepción de información que promueven:

Comunicaciones personales y/o otros intereses personales.

Creencias políticas personales.

Propósitos comerciales privados no relacionados con la Empresa.

Originar o distribuir cadenas de cartas por correo electrónico.

Discriminación basada en raza, creencia, color, género, religión, limitaciones físicas u

orientación sexual.

Acoso sexual.

Descarga o distribución de material pornográfico.

Violación a derechos de propiedad intelectual.

Información que pueda tener implicaciones legales para la Empresa.

Información confidencial, crítica o comercialmente sensible sin tener la aprobación escrita de la

alta dirección, para enviar dicha información por correo electrónico.

Hacer representaciones o expresarse opiniones que pretendan ser las de la Empresa.

Información que pueda afectar negativamente la reputación de la Empresa o su relación con los

clientes, o que pueda ser denigrante para los clientes.

Información que pueda incorporar un virus a cualquier red de la compañía o de un cliente.

Suscripciones individuales a grupos de noticias o listas de correos y bulletin boards cuando

potencialmente pueden inundar el sistema de e-mail por Internet de la compañía con e-mail

externo.

La información consultada a través de Internet, en cualquier horario que no sea para apoyar

directamente las funciones de trabajo del usuario.

Bajar información o software de internet a menos que haya una autorización explícita de la alta

dirección y del Coordinador de gestión tecnológica para dicha actividad y se hayan tomado todas

las previsiones del caso para la protección de los recursos de eventuales virus y protección de

derechos de autor.

Compra de servicios y/o productos para el uso particular a través de Internet.

La utilización de la red para consulta o difusión de materiales o contenidos que violen la moral y

las buenas costumbres, la publicación o difusión de información de la cual no se tiene licencia ni

derechos de autor que no sea propiedad de la organización, o contenidos que hagan daño a

terceros en su persona, bienes, patrimonio, reputación, etc. Que violen las leyes nacionales e

internacionales, recayendo directamente sobre los usuarios.

No deben ejecutar archivos o abrir correos de procedencia desconocida.

Acceder al servicio de Internet utilizando la cuenta de otro funcionario.



Revisión: 9

Página: 12 de 16

Administración del Servicio de Internet

Todo requerimiento (Acceso) debe ser canalizado a través del Coordinador de

gestión tecnológica y debe quedar soporte.

El Coordinador de gestión tecnológica debe velar por la protección de acceso

no permitido.

La configuración de la Red de Internet es información confidencial.

La confidencialidad y privacidad deberían preservarse hasta el mayor punto posible, sin

embargo el coordinador de gestión tecnológica podrá suministrar a los entes de control interno

y/o externo, la información que estos consideren necesaria para respectivas investigaciones.

Por ningún motivo el coordinador de gestión tecnológica, podrá borrar, modificar,

adicionar información del sistema que ponga en peligro los recursos de la Organización.

Las cuentas de Internet deben desactivarse por retiro o inicio de vacaciones.

Todos los funcionarios de Construvicol, deben conocer y aplicar los preceptos de la Ley de

Comercio Electrónico, que define y reglamenta el acceso y uso de los mensajes de datos, del

comercio electrónico y de las firmas digitales.

16. PAGINAS WEB Y SISTEMA DE MANEJO DE CONTENIDO

El Coordinador de gestión tecnológica o quien haga sus veces, acogiendo la directriz

organizacional, determinará los estándares para aquellos contenidos considerados como

oficiales de la empresa. Ninguna otra página o contenido electrónico puede hacer uso de los

logos de Construvicol SA sin la debida autorización.

Los editores de las páginas web que usen información asociada con el área de gestión

tecnológica deben acogerse a las políticas de la empresa, a la ley que las regula incluyendo

derechos de autor, leyes sobre obscenidad, calumnia, difamación y piratería de software. El

contenido debe ser revisado periódicamente para asegurar continuamente su veracidad.

17. USO DE LA CONTRASEÑA

Elección de contraseñas

Para el buen uso de las contraseñas se debe tener en cuenta lo siguiente:

No utilice contraseñas que sean palabras (aunque sean extranjeras), o nombre

(el de usuario, personajes de ficción, miembros de la familia, mascotas, ciudades, marcas,

lugares u otro relacionado).

No utilice contraseñas completamente numéricas con algún significado (teléfono, fechas).

Elija una contraseña que mezcle caracteres especiales y alfanuméricos (mayúsculas minúsculas).



Revisión: 9

Página: 13 de 16

Las contraseñas deben ser creadas de 6 o más caracteres.

No repita una secuencia de caracteres de la contraseña anterior.

Protección de contraseñas

Un usuario del Sistema, no deben permitir que otros conozcan su contraseña, ni revelar la

contraseña de sus cuenta (Red, Aplicativos, Correo Electrónico o Internet, etc.) a otros

miembros del personal, ni tampoco permitir que otros personas usen su cuenta y contraseña.

Las contraseñas para obtener acceso al sistema no deben ser fácilmente descifrables para

otros. Se prohíbe intentar entrar en el sistema por medio de la cuenta de otro miembro o como

administrador del sistema.

El personal debe notificar inmediatamente a la alta dirección, si sospecha que alguien ha

obtenido acceso con su cuenta a los sistemas de información.

El coordinador de gestión tecnológica, no debe permitir ninguna cuenta sin contraseña.

Nunca se debe compartir con nadie la contraseña en ningún sitio.

Gestión de contraseñas

El número de intentos de ingreso de la Contraseña a un Sistema debe ser limitado. Las

mejores prácticas recomiendan tres. Tras un número de intentos fallidos o cuando se

reporte el bloqueo de una cuenta, pueden tomarse distintas medidas:

Enviar un mensaje al coordinador de gestión tecnológica y/o mantener un registro especial (el

cual se activará también a través de los mismos sistemas).

Enviar un mensaje al coordinador de gestión tecnológica para constatar que personas ajenas

hayan intentado utilizar indebidamente la cuenta del usuario.

Uso de contraseñas

El acceso a los sistemas de la empresa se controla con cuentas de usuario y contraseñas

asignadas a cada uno de los funcionarios.

Recuerde que la cuenta de usuario es personal e intransferible y por lo tanto todo lo que quede

registrado con ella es su responsabilidad.

Por lo anterior se debe tener en cuenta las siguientes recomendaciones:

Si se tiene que ausentar de su puesto de trabajo bloquee la sesión de trabajo en su equipo local

o finalice la sesión de usuario remoto cuando se conecte a cualquier aplicación, 20 ó 30



Revisión: 9

Página: 14 de 16

segundos pueden ser suficientes para que alguien ejecute una operación en nombre suyo.

Mantenga con protector de pantalla su estación de trabajo.

Al finalizar la jornada de trabajo finalice todas las sesiones de trabajo que tenga abiertas y

apague su computador.

Cambie su contraseña cada 45 días como tiempo máximo.

18. EQUIPO DESATENDIDO DEL USUARIO

Todos los usuarios y contratistas deben tener conocimiento de los

requerimientos de seguridad y procedimientos para proteger equipos sin

atención, como también, su responsabilidad e implementación de dicha

protección.

Terminar la sesión activa al finalizar (a menos que se pueda asegurar por

medio de un software que proporcione protección: p.e. Windows 95 la “screen saver”,

Windows NT o Windows 2000 el bloqueo del computador).

Desactivar (log off) computadoras mainframe al finalizar la sesión – en vez de simplemente

apagar la terminal o PC.

Asegurar PC’s (o terminales) por medio de una llave ó control equivalente

19. BACKUPS

Definiciones

Backup o Copia de seguridad o copia de respaldo se refiere a la copia

de los datos que residen en los discos duros de las estaciones de

trabajo o Servidores de la compañía, de tal forma que estas copias

adicionales puedan restaurar un sistema después de una perdida de información. Su objetivo

es mantener cierta capacidad de recuperación de la información ante posibles pérdidas.

La copia de seguridad es útil para restaurar un Sistema a un estado operacional después de un

desastre y para restaurar archivos después de que hayan sido borrados o dañados

accidentalmente.

Normalmente las copias de seguridad se suelen hacer en cintas magnéticas, si bien

dependiendo de lo que se trate podrían usarse disquetes, CD, DVD, discos ZIP, JAZ o magnético-

ópticos, o pueden realizarse sobre un centro de respaldo remoto propio o vía internet.

La copia de seguridad puede realizarse sobre los datos, en los cuales se incluyen también



Revisión: 9

Página: 15 de 16

archivos que formen parte del sistema operativo. Así las copias de seguridad suelen ser

utilizadas como un recurso clave en la defensa contra la pérdida de datos.

Toda información de datos almacenada y cuya importancia sea muy alta necesitaría debería ser

copiada.

La copia de seguridad es solo útil tanto como su estrategia de recuperación asociada esté bien

establecida.

Almacenar las copias cerca de los datos originales no es deseable, en muchos desastres se ha

comprobado que es muy útil el que haya una distancia de separación, sino en caso de siniestro

ambas fuentes de datos serían destruidas.

Las copias de seguridad automatizadas deben ser consideradas para evitar ser objeto de

errores humanos antes las copias de seguridad manual, por lo menos las copias de seguridad

de aplicativos del negocio en Servidores deben ejecutarse mediante mecanismos de copiado

automático.

El coordinador de gestión tecnológica es responsable por el respaldo de la información

residente en los Servidores de la Empresa, de forma que la Empresa tenga la capacidad de

recuperarse ante un desastre.

El coordinador de gestión tecnológica debe crear los mecanismos de aseguramiento de que las

copias de Seguridad son realmente útiles ante la recuperación de un desastre o eventualidad.

Cada usuario es responsable por el respaldo de la información clave del negocio, de forma que

la empresa tenga la capacidad de recuperarse ante un desastre o eventualidad.

Los Backups de los directorios o carpetas de los servidores deben ser planificados y ejecutados

con la periodicidad establecida de acuerdo con su criticidad, frecuencia y políticas de respaldo

de los datos, utilizando mecanismos automáticos de generación de Backup.

Es responsabilidad del coordinador de gestión tecnológica garantizar y registrar la ejecución

de los Backups de los Servidores de Construvicol, sean incluso estos ejecutados por un

mecanismo de generación automática.

Es responsabilidad del coordinador de gestión tecnológica definir y acordar con la alta

dirección la custodia interna y externa de los Backups que garanticen la rápida recuperación de

los datos con el menor impacto posible en caso de presentarse cualquier eventualidad.

Es responsabilidad de cada uno de los usuarios de Construvicol garantizar el respaldo de la

información contenida en los directorios o carpetas particulares de los discos duros de sus

estaciones de trabajo asignada.

La autorización para el aplazamiento de la ejecución de un Backup de cualquiera de los

establecidos sobre los servidores por motivos de fuerza mayor, debe ser gestionado por



Revisión: 9

Página: 16 de 16

coordinador de gestión tecnológica, ante la alta dirección de Construvicol.

Es responsabilidad del coordinador de gestión tecnológica crear mecanismos que le permitan a

la administración de Construvicol, tener la seguridad de que los usuarios están respaldando la

información almacenada en sus estaciones de trabajo con la frecuencia, oportunidad y

completitud definida. Esto no exonera a los usuarios de la responsabilidad establecida en estas

Políticas.

Las copias de seguridad serán realizadas y supervisadas por el coordinador de gestión

tecnológica quién a su vez tendrá a cargo la generación de los medios en que se almacenarán y

su distribución a los responsables internos de la custodia de los mismos.

Los backups se realizarán automáticamente a través software diseñado para éste fin y se

generarán los respaldos en los medios de almacenamiento (CD, DVD, Cartucho) de acuerdo al

tamaño y la rotación.

Mensualmente se enviarán a custodia externa las copias de seguridad del sistema y los datos

contenidos en las aplicaciones que se ejecutan en la empresa.

RECUPERACIÓN

En el caso de un siniestro de pérdida de información se utilizará la copia de seguridad más

reciente, la cual será entregada por los Jefes de Área y será responsabilidad del coordinador

de gestión tecnológica restaurar los datos con eficacia a un estado inmediatamente anterior;

garantizando que la información contenida mantiene datos confiables.

Si un siniestro de pérdida de datos involucra la pérdida de la información que se encuentre en

custodia interna se recurrirá a la copia de seguridad que se encuentre en la custodia externa.

Cumplimiento de las políticas de seguridad: El cumplimiento de las Políticas de seguridad es

obligatorio. Si un usuario viola las disposiciones en las Políticas y procedimientos de la empresa, por

negligencia o intencionalmente, se procederá de acuerdo al documento de acciones disciplinarias

GH_DOCI_007 guía acciones disciplinarias.

20. PRESTAMO DE EQUIPOS, DISPOSITIVOS O ELEMENTOS TECNOLÓGICOS

El área de gestión tecnológica facilita al personal de Construvicol SA, que cuente con previa

autorización, elementos tales como modem de internet, memorias USB, mouse, maletines,

cargadores, y demás elementos tecnológicos o de uso tecnológico que son facilitados de forma

temporal y por lo tanto no tendrán un Acta de Entrega, sino que se diligencia el formato

GTEC_FO_002. Relación préstamo de elementos de computo.

uso responsable de los sistemas de informaciÓn · 2014-11-26 · uso responsable de los sistemas...

Documents