En-core

Servicios de Investigación Tecnológica

Manual de Procedimientos

Herman Ossa | Redes y Seguridad | 27-09-2018

 MANUAL DE PROCEDIMIENTOS EN-CORE

Contenido

Antecedentes

Justificación

Alcance

Propósito

Objetivo

Estudio y análisis previo de los recursos informáticos actuales para establecer las bases del sistema
de seguridad

. Análisis del Sistema a proteger

. Elementos de análisis para la seguridad informática
. Valoración de los elementos de la red
. Amenazas posibles

Políticas de Seguridad Informática

Programa de Seguridad Informática

. Sustentación
. Tablas de acceso por grupos de gestión
. Herramientas de Seguridad

. Herramientas de control de acceso

. Herramientas para asegurar la integridad del sistema

Plan se Acción

Marco Normativo

. Procedimientos para la adquisición de los elementos informáticos

. Instalación de los equipos de cómputo
. Lineamientos informáticos de la información
. Funcionamiento de los equipos de cómputo
. Identificadores de usuarios y contraseñas
. Acceso físico
. Software
. Conectividad a Internet
. Recursos de la red
. Uso apropiado de los recursos
. Estrategia informática
. Plan de contingencias informáticas
. Actualizaciones de las políticas de seguridad informática
. Responsabilidades personales
. Salida de Información
. Prohibiciones
. Vigencia
. Responsabilidad Administrativa y Penal

Manual de Procedimientos

. Procedimiento para proveer Programas de Capacitación

. Procedimiento de Cuentas.
. Procedimiento de alta de Cuentas de Usuario
. Procedimiento de baja de Cuenta de Usuario
. Procedimiento para la determinación de identificación del usuario y su grupo de
pertenencia por defecto
. Procedimiento para determinar los buenos Passwords
. Procedimiento de verificación de Accesos
. Procedimiento del uso adecuado del Sistema
. Procedimiento para el monitoreo de conexiones activas
. Procedimiento para el monitoreo de los puertos en la Red
. Procedimiento para la verificación de las máquinas de los usuarios
. Procedimiento para el chequeo de gráficos de la red
. Procedimiento para verificar el contenido descargado de internet
. Procedimiento para el chequeo de volúmenes de correo
. Procedimiento para el bloqueo de páginas web
. Procedimiento para recuperar información
. Procedimiento de Backups
. Procedimiento para modificación de archivos
. Procedimiento de autorizaciones para instalación de software licenciado o GPL
. Procedimiento de gestión de cambios tecnológicos
. Procedimiento para dar a conocer las nuevas Normas de Seguridad
. Procedimiento de escaneo antivirus
. Procedimiento para realizar auditoría en cada dependencia
. Procedimiento que nos permitiría saber si algún empleado está realizando
fraude, robo o estafa
. Procedimiento de veeduría externa de las PSI
. Procedimiento para identificación del problema presentado
. Procedimiento para la solución del problema presentado
. Procedimiento para solicitud, recibo o cambio de dispositivos
. Procedimiento para realizar mantenimiento a dispositivos
. Procedimiento de mantenimiento preventivo
. Procedimiento de mantenimiento correctivo
. Procedimiento para la configuración de los dispositivos
. Procedimiento de actualización semestral de las Políticas de Seguridad
. Procedimiento de publicación de eventos en la agenda de los usuarios, para
que estos estén enterados de todos los acontecimientos de la empresa
. Procedimiento de asesoría para usuarios de Sistemas de Información
. Procedimiento de registro en la Red Administrativa
. Procedimiento de Actualización y mantenimiento sitio WEB
 ANTECEDENTES

Hay la creencia general, que, solo usando contraseñas en los procedimientos informáticos de las
empresas, organizaciones o instituciones, se protegen la información y las bases de datos.

La protección de la información es vital para la sana competencia y la pervivencia de empresas,

organizaciones o instituciones ya que este, es su activo más valioso; y para ello, deben tomar
medidas preventivas y no correctivas, que eviten ataques que vulneren la capacidad de respuesta
de sus redes o en el peor de los casos, que destruyan la información o roben sus datos.

El uso de contraseñas es necesario, pero no suficiente para validar la seguridad de los valores
informáticos intangibles de empresas, organizaciones o instituciones; para garantizar este blindaje
informático, tienen que implementar Políticas de Seguridad Informática, Planes Maestros y
Manuales de Procedimientos en lenguaje no técnico, sencillo, legible y entendible, para que todos
los usuarios informáticos, los entiendan y asimilen, y además, puedan comprender su vital
importancia.

JUSTIFICACION

Debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles, la seguridad

informática ha tomado gran auge y vigencia; la posibilidad de interconectarse a través de redes, ha
abierto nuevos horizontes a las empresas, organizaciones e instituciones para mejorar su
productividad y explorar más allá de sus fronteras nacionales, lo que, lógicamente, ha traído
consigo, la aparición de nuevas amenazas para sus sistemas de información.

Y estos peligros cibernéticos a los que se tienen que enfrentar a diario, en sus procesos de
expansión y globalización, han llevado a la industria de la seguridad informática a desarrollar
matrices y directrices que orientan asertivamente en el adecuado uso de las destrezas tecnológicas
de navegación, para obtener el mayor provecho posible de estas ventajas, y prevenir al mismo
tiempo, sobre su indebido uso, para evitar serios problemas a los bienes, servicios y operaciones
en desarrollo.

En este sentido, las Políticas de Seguridad Informática bien definidas, partiendo desde el análisis
de los riesgos a los que se encuentran propensas las empresas, organizaciones e instituciones,
surgen como una herramienta óptima para concientizar a los usuarios informáticos, sobre la alta
sensibilidad de la información, los datos, y los servicios críticos, que permiten a las empresas,
organizaciones e instituciones, crecer y mantenerse en tops competitivos y de servicio.

Ante estas situaciones de latentes y permanentes riesgos de amenazas y vulnerabilidad de los

datos y la información de En-core, se propone a la alta dirigencia, instaurar un Manual de Políticas
de Seguridad Informática, que va a proporcionar agudeza técnica para establecer fallas y
debilidades de la organización, y en consecuencia, a proporcionar el blindaje adecuado de los
activos informáticos intangibles contra ataques en la red.

ALCANCE

Sentar las bases, procedimientos y normas de uso y seguridad informáticas dentro de En-core, en
cuanto a manipulación y uso de apps y equipos computacionales, que permitirán a la organización,
optimizar los procesos informáticos y elevar el nivel de seguridad de los mismos.

La seguridad, en lo que se refiere a una infraestructura de información, es un concepto relacionado

con los componentes del sistema (el hardware), las apps utilizadas en la institución (el software) y
el manejo (el conocimiento del usuario); que se dé, del conjunto de ambos; por esta razón, es un
paso primordial, establecer normativas y estándares que permitan obtener una base de manejo
seguro de todo lo relacionado con la infraestructura de comunicación de la empresa.
En consecuencia, la información y los recursos mencionados anteriormente, son un activo de
altísimo valor prioritario, que la empresa debe proteger, asegurar y administrar, para garantizar su
integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la ley.

PROPÓSITO

El propósito de este Manual es lograr que todos los empleados de En-core, actúen de manera tal,
que todas las operaciones de carácter informático y de naturaleza repetitiva, se hagan en forma
sistemática y consciente, para garantizar la uniformidad en los procesos de todas las áreas de
gestión de la empresa, y asegurar que estén alineados con la estrategia corporativa”.

OBJETIVO

El presente documento tiene como finalidad la implementación de Políticas de Seguridad

Informática para la empresa En-core de Medellín, Colombia.

Desarrollar un sistema de seguridad informática, significa "planear, organizar, dirigir y controlar

todas las actividades informáticas, para mantener y garantizar la integridad física de los recursos
informáticos, y resguardar los activos informáticos intangibles de la empresa".

Los objetivos que se pretenden alcanzar, luego de implantar el Sistema de Seguridad Informática,
son los siguientes:

Objetivos Generales

. Desarrollar un sistema que permita proteger la información confidencial de En-core, utilizando

PSI adecuadas.

. Orientar a sus empleados sobre el adecuado uso de los recursos del sistema para evitar que se
presenten fallas que comprometan la seguridad de los datos y la información.

. Interactuar con las Políticas de Seguridad Informática, para que tengan un buen manejo dentro de
la empresa.

. Proponer estrategias que ayuden a proteger el sistema contra posibles ataques particulares:

. Realizar el estudio y análisis de los recursos informáticos de la empresa.

. Evaluar y determinar los posibles riesgos de los sistemas informáticos.

. Establecer y documentar el programa de Seguridad Informática, a través de un plan de acción,

procedimientos y normativas necesarias para implementar un Sistema de Seguridad Informática.

. Ejecutar las Políticas de Seguridad de la Información en la Empresa, mediante adecuadas

estrategias gerenciales y administrativas.

ESTUDIO Y ANALISIS PREVIO DE LOS RECURSOS INFORMATICOS ACTUALES PARA

ESTABLECER LAS BASES DEL SISTEMA DE SEGURIDAD INFORMÁTICA

Lo primero que debe hacerse, es la evaluación de riesgos informáticos, para valorar los elementos
sobre los cuales serán aplicadas las PSI; esta evaluación de las posibles amenazas y causas de
ataques informáticos, es la que determina las mejores Políticas de Seguridad de la Información que
deben implementarse en En-core.
Para ello es necesario realizar el estudio previo de todos los recursos tecnológicos y humanos con
que cuenta En-core, con el fin de ejecutar el plan y los procedimientos de aplicación efectivos de
las Políticas de Seguridad Informática de la empresa.

Para la ejecución del proyecto, se toma como base el estudio y análisis de los componentes
informáticos lógicos y físicos que tiene la empresa para su gestión y administración, y el análisis de
las condiciones del uso de dichos recursos de parte de los empleados, con el fin de determinar las
posibles vulnerabilidades a que puede estar expuesta la información de la empresa.

Finalmente, con base el estudio y análisis requerido para determinan los riesgos inherentes a los
recursos informáticos de En-core, se definen las Políticas de Seguridad Informática actuales para
establecer nuevos procedimientos y estrategias gerenciales y administrativas, que permitan el
resguardo y blindaje de los recursos informáticos de la empresa.

Análisis del Sistema a proteger

Por ser En-core una empresa dedicada a la investigación tecnológica para otras empresas del país,
los documentos históricos nuevos generados por los investigadores, son su principal material de
trabajo; y como debe contratar consultores “outsourcing” para casos específicos y el personal
interno, debe hacer estudios de campo; es muy importante que la información generada, usando
tecnología punta, esté segura y protegida, para que no caiga en manos de la competencia.

Elementos de análisis para la seguridad informática

Número Amenaza Consecuencia Ambiente Mecanismos Factor Humano

Ingreso de Robo de equipos Institución Vigilantes en la Descuido
personas no informáticos y de privada organización
1 autorizadas a las información dedicada a la
instalaciones ejecución de
proyectos

Personas que no Extracción de Institución Claves de Descuido

corresponden al información propia privada seguridad de
2 uso de e ingreso de dedicada a la acceso a todas las
determinados información falsa ejecución de terminales
terminales proyectos

Virus informáticos Eliminación y/o robo Institución Antivirus No utilización ni

de información privada actualización de
3 dedicada a la antivirus
ejecución de
proyectos

Compartición de Eliminación y/o robo Institución Compartición de Desconocimiento,

recursos y de información privada recursos con +personal confiado
4 carpetas en la red dedicada a la restricciones
ejecución de
proyectos

Compartir las Ingreso de Institución Asignar claves de Personal confiado,

claves de acceso personas ajenas al privada acceso único e desconocen las
5 personal equipo, dedicada a la intransferible para consecuencias
manipulación de ejecución de cada usuario
datos proyectos

No hay No se evalúan, no Institución Asignar funciones Descuido y falta de

responsable del se estudian ni se privada de la seguridad de información de los
6 área de seguridad determinan dedicada a la la información a directivos y
informática procedimientos ni ejecución de una y/o varias administradores de
gestión de la proyectos personas por área la empresa
de gestión
 seguridad de la
información

Valoración de los elementos de la red

Recursos de la empresa Importancia Severidad de la Riesgo evaluado

Número Nombre Riesgo (Ri) pérdida (Wi) (Ri Wi)
1 Servidores DNS 10 10 100
2 Routers 10 10 100
3 Firewall 10 10 100
4 Servidor VPN 10 10 100

5 Sistema ERP 10 10 100

6 Sistema de Backups 10 10 100
7 Base de Datos 10 10 100
8 Switches 10 10 100
9 Server Active Direct 10 10 100
10 Server SharePoint 10 10 100
11 Sistema IDS 10 10 100

Amenazas posibles

Estas amenazas han hecho que las empresas creen directivas y normativas para regular el nivel
de seguridad de su estructura interna, con el fin de protegerse de ataques externos o cubrir la
negligencia de sus propios empleados.

. De carácter Físico

. Robo de equipos informáticos

. Incendio en las instalaciones
. Fallas eléctricas en los equipos

. De carácter Lógico

. Robo de la información.
. Virus Informáticos.
. Accesos no autorizados a los computadores y servidores.

POLÍTICAS DE SEGURIDAD INFORMÁTICA

Revisadas las características generales de las PSI y los elementos implícitos en cada observación,
podemos establecer un esquema de cómo formularlas y establecerlas.

Las Políticas de Seguridad Informática de una empresa, se basan en las buenas prácticas que se
le pueden dar a los distintos sistemas informáticos de la misma, y a los diferentes mecanismos que
existen para evitar posibles daños o catástrofes futuras, que puedan afectar de una u otra manera
la integridad y la confidencialidad de los datos o información que esta contenga; por lo que “En-
core” ha decidido implementar las siguientes Políticas de Seguridad Informática, que serán
ejecutadas y llevadas a cabo por cada uno de los empleados que tengan acceso a información
privilegiada, y que por su manipulación o extravío puedan afectar los procesos que internamente
lleva la empresa:
Dentro del manual de Políticas de Seguridad Informática de la empresa se evitarán en lo posible
los tecnicismos, que de alguna u otra manera puedan dificultar el completo entendimiento de las
normas.

Dentro del manual se harán ejemplos prácticos, que faciliten la comprensión del mismo, evitando
confusiones o malos entendidos que puedan afectar la integridad de la misma.

. Las Políticas de Seguridad serán generales, ejecutadas y cumplidas por cada uno de los
empleados, pero se tendrá prioridad por aquellos que de forma directa o indirecta tienen acceso
a información privilegiada, por lo que se tendrá más rigurosidad con estos.

. La protección de la información será el principal objetivo de estas políticas y todos los

procedimientos que se lleven a cabo tendrán como fin la seguridad de la misma.

. Cumplir las normas es deber de todo empleado, no importa su rango en la empresa, las normas
los cobijan a todos, por tanto, deben ser cumplidas en la misma medida.

. No todos los sistemas tendrán los mismos niveles de seguridad, se le dará más importancia a
aquellos sistemas que sean transcendentales para la empresa y que por la pérdida, extravío o
alteración de la información que contengan, puedan causar costosos e irreparables daños a la
empresa.

. Los miembros de la empresa mediante el cumplimiento de las políticas de seguridad, estarán en

plena facultad para desarrollar el sentido de responsabilidad frente a la información a la que tienen
acceso.

. Será violación de las normas de seguridad, cualquier acto que permita que externamente se
penetre la red de la empresa, o conlleve a pérdida, alteración o cualquier otra causa que pueda
poner en peligro la confidencialidad de los procesos que lleva internamente la empresa.

. Los miembros de la organización serán capacitados en seguridad informática básica, esto les
permitirá tener nociones acerca de cuáles son los riesgos que se pueden correr al descuidar cierta
información.

. La trascendencia de las PSI en la organización conlleva a la concientización del personal, sobre

el alto grado de importancia y sensibilidad de la información y servicios, que le permiten a la
empresa un crecimiento positivo y una estabilidad óptima. Por lo tanto es necesario, para
implementar estas políticas, elaborar un plan que contenga los siguientes puntos:

. Llevar a cabo un análisis de los riesgos informáticos, para luego realizar un estimado del tipo y
valor que representa, tanto la información como los activos de la empresa, para de este modo
ajustar las PSI a la naturaleza de la misma.

. Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son
la principal fuente para establecer el alcance y definir las violaciones a las políticas.

. Establecer un esquema de seguridad con la más debida claridad.

. Inculcar a todo el personal un sentido de pertenencia por todo lo que se encuentra en la

organización, asimismo enfatizar en adentrarlos en el proceso de seguridad y a su vez que se
vayan familiarizando con cada uno de los mecanismos ejecutados, buscando que se trabaje en
total armonía.

. Destacar que todos y cada uno de las personas que hacen parte de la organización,
 automáticamente se convierten en interventores del sistema de seguridad, con el debido manejo
y manipulación del mismo; estos pueden realizar sus respectivas opiniones y sugerencias, para
una posible actualización o modificación a las PSI previamente pactadas.

. Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los
beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.

. Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos
los interesados en salvaguardar los activos críticos de su área.

. Tener un monitoreo constante sobre las tareas ejecutadas, con el fin principal de verificar posibles
fallas y de qué manera pueden formularse alternativas que conlleven al mejoramiento de las PSI.

PROGRAMA DE SEGURIDAD INFORMÁTICA

La documentación recabada como resultado del presente proyecto, avala la ejecución de un plan
estratégico para implementar las Políticas de Seguridad Informática en “En-core”, empresa de
Servicios de Investigación Tecnológica de Medellín, Colombia.

Sustentación

. Las PSI tendrán revisiones semestrales para realizar actualizarlas, modificarlas y ajustarlas,
basados en las recomendaciones y sugerencias de todo el personal de la empresa.

. Todo usuario nuevo debe aceptar las condiciones de confidencialidad, de uso adecuado de los
bienes informáticos y de la información.

. Realizar seguimiento de los usuarios nuevos y los que se dan de baja en la compañía.

. Prevenir el acceso no autorizado a los equipos de cómputo.

. Detectar actividades no autorizadas.

. Los administradores de centro de operaciones de cómputo, llenarán los formularios específicos

para crear las listas de empleados de la empresa con el fin de asignarle los derechos
correspondientes, equipo de cómputo, creación de usuario para la red (perfil de usuario en el
Directorio Activo).

. Capacitación de seguridad informática, donde se den a conocer las obligaciones para los usuarios
y las sanciones en que pueden incurrir en caso de incumplimiento.

. Protección de la información y de los bienes informáticos.

. Mantenimiento de equipos, encargado solo a un personal específico; los usuarios deberán

asegurarse de respaldar en copias de respaldo o backups, la información que consideren
relevante cuando el equipo sea enviado a reparación, y borrar aquella información sensible que
se encuentre en el equipo, previendo así la pérdida involuntaria de información, derivada del
proceso de reparación.

. Controles contra virus o software malicioso.

. Planes de Contingencia ante Desastre.

. Realizar registro y seguimiento de los eventos en el sistema.

Tablas de acceso por Grupos de Gestión

. Nomenclatura

. L Permiso de lectura.
. E Permiso de escritura.
. J Permiso de ejecución.
. T Permiso de acceso al panel administrativo de todos los dispositivos
Tiene todos los permisos sobre todos los recursos
. N No tiene permisos

Recursos
Impresoras Red ERP Router Firewall Herrami Active SharePoint
Nombre del entas Directory
grupo de
control
de
acceso
Gerencia J J LE N N L J LE

Ventas J J LE N N N J LE

Secretarias J J L N N N J LE

Investigadores J J N N N N J LE

Documentación J J N N N N J LE

Sistemas T T T T T T T T

Consultores N J N N N N N L
externos

Herramientas de Seguridad

. Herramientas de control de acceso

. SATAN

Con esta herramienta se chequean las máquinas que están conectadas a la red, informando
sobre el tipo de máquina conectada, los servicios que presta cada una, además de detectar
fallos de seguridad. La lectura de sus datos es sencilla, a través de un navegador.

Califica los fallos encontrados en la máquina como baja, media o altamente insegura,
generando un registro de esos fallos con una breve explicación e información (si se puede)
sobre una posible solución. Con la información obtenida de todas las máquinas registradas
genera una base de datos.

Courtney: SATAN es muy buena herramienta para detectar topologías de redes por lo que
se necesita otra que detecte a SATAN; con esta la detectamos a partir de información pasada
por el programa TcpDump. Al detectar un continuo chequeo de puertos en un lapso corto de
tiempo, el programa genera un aviso.
 . NetLog

Hay ataques a una red que pueden pasar desapercibidos por su extremada velocidad; esta
vulnerabilidad se puede corregir con este programa que en realidad es una serie de
programas que trabajan conjuntamente, generando trazas de los paquetes que se mueven
en la red, sobre todo los sospechosos que indican un posible ataque a la red. Al igual que el
Argus, el Netlog también permite filtrar contenidos y ver solo los de interés.

. Nocol

Esta herramienta, está hecha de diversos paquetes para monitorear redes. Recopila, analiza,
agrupa y le asigna niveles de gravedad a la información (info, warning, error, crítical), siendo
manejada cada gravedad por distintos agentes, para filtrarla y analizar la que nos interesa.

. ISS

Con esta herramienta chequeamos el nivel de seguridad de una máquina evaluando

servicios y direcciones IP; también se ven los puertos que usan el protocolo TCP de la
máquina analizada. Así mismo transferimos archivos de contraseñas por la red, creando un
registro de la máquina que posee tal contraseña con su dirección IP.

. Herramientas para asegurar la integridad del sistema

. COPS

Con este programa chequeamos aspectos de seguridad relacionados al sistema operativo

UNIX; por ej., permisos a determinados archivos, chequeo de passwords débiles, permisos
de escritura y lectura sobre elementos importantes de la configuración de red, entre otras
funcionalidades.

. Tiger

Parecido al COPS. Chequea la seguridad del sistema para detectar problemas y

vulnerabilidades, elementos como:

. Configuración general del sistema

. Sistema de archivos
. Caminos de búsqueda generados
. Alias y cuentas de usuarios
. Configuraciones de usuarios
. Chequeo de servicios
. Comprobación de archivos binarios

La información que se recoge se almacena en un archivo, que luego se analiza con una
herramienta que permite explicar los elementos del archivo. También se puede seleccionar
el tipo de chequeo del sistema.

. Crack

Nos sirve para “forzar” las contraseñas de los usuarios midiendo el grado de complejidad de
estas. Así se genera un diccionario y reglas que ayudan a crear passwords comunes. Como
se está usando para chequear la seguridad del sistema, le proveemos el archivo de
passwords y el programa lo barre detectando las contraseñas débiles y vulnerables, tratando
de deducir contraseñas del archivo cifrado de nuestro sistema.
 Es necesario el barrido periódico del programa “Crack” sobre nuestro sistema, para así
notificar a los dueños de las respectivas contraseñas sobre la necesidad de cambiarlas y
aumentar la seguridad en caso de ser víctimas de un ataque con un crackeador.

. Tripwire

Su función principal es la de detectar cualquier cambio o modificación en el sistema de

archivos, como modificaciones no autorizadas o alteraciones maliciosas de algunos
softwares.

El programa genera una base de datos en la que genera una “firma” o archivo identificador
por cada elemento en el sistema de archivos. La firma guarda información relevante como el
nombre del propietario del archivo, última fecha de modificación, última fecha de acceso, etc.
Esta base de datos de firmas, se compara a voluntad con una nueva base de datos para
detectar las modificaciones en los archivos del sistema.

Es útil esta base de datos, para hacer comparaciones periódicas y así detectar cambios, y
que esta sea actualizada cada vez que se ingresa un elemento nuevo al sistema de manera
autorizada.

. Cpm

En una red el modo promiscuo se define como aquel en que una máquina o conjunto de
máquinas, se encuentran “escuchando” todo el tráfico de la red.

Aunque es importante tener máquinas en modo promiscuo para correr archivos de protección
de la red; así es que funcionan los “sniffers”, que podemos detectar con el Cpm; por eso es
necesario correr el Cpm en nuestro sistema para cazar olfateadores que puedan estar
recogiendo información de las contraseñas de la red.

. Trinux

Es un conjunto de herramientas para monitorear redes con el protocolo TCP-IP. Es usada

directamente desde el dispositivo de almacenamiento en que se encuentra, corriendo
enteramente en la memoria RAM del computador

Con este paquete de aplicaciones se controla el tráfico de mails, herramientas básicas de

redes, detector de sniffers, y herramientas de seguridad para los servidores de nuestra
organización.

PLAN DE ACCIÓN

· Las PSI tendrán revisiones semestrales para realizar actualizaciones, modificaciones y ajustes,
basados en las recomendaciones y sugerencias de todo el personal de “En-core”.

· Los empleados nuevos tienen la obligación de aceptar las condiciones de confidencialidad de los
datos y la información de “En-core”, así como el uso adecuado de los bienes informáticos tangibles.

· Los administradores de los centros de operaciones de cómputo, crearán las respectivas listas de
empleados de “En-core”, con la asignación de sus derechos y obligaciones, equipos de cómputo
asignados y los respectivos perfiles de usuarios activos en el directorio de la red corporativa.
. Cursos permanentes de capacitación en Seguridad Informática, para dar a conocer las
obligaciones de los usuarios y las sanciones que pueden acarrear en caso de incumplimiento de
las normas de seguridad.

. Todos los empleados en sus respectivos puestos de trabajo, deben actualizar diariamente sus
respectivos backups, y guardar la información adicional que consideren pertinente

· Actualizaciones permanentes contra virus o software malicioso.

· Partiendo de los análisis de riesgos, establecer planes de contingencia ante desastres

y/o cualquier daño inesperado de hardware.

· Prevenir accesos no autorizados a los equipos de cómputo.

· Detectar actividades no autorizadas.

. Seguimiento a los empleados nuevos y a los que se dan de baja en la empresa.

· Hacer seguimiento diario de los eventos en el sistema y llevar un registro del mismo.

. El mantenimiento físico de los equipos, solo debe ser realizado por el personal encargado para
tal fin.

MARCO NORMATIVO

Se entiende por Políticas Informáticas de “En-core”, el conjunto de normas, ordenamientos,

reglamentos y lineamientos, enmarcados dentro del ámbito jurídico y administrativo de la empresa,
que rigen todas las actividades de la organización por área de gestión y que están alineadas con la
estrategia corporativa de la misma.

Este conjunto de reglas, son obligatorias, y deben ser por los Jefes de Sistemas responsables del
hardware y software existente en “En-core”, y todo el personal que labora en la empresa, siendo
responsabilidad de la Administración Informática, vigilar su estricta observancia en el ámbito de su
competencia, aplicando las medidas preventivas y correctivas del caso para que se cumplan.

“En-core” deberá contar con un Jefe responsable de la administración de los Bienes y Servicios
Informáticos, sobre el que recaerá toda la responsabilidad de los mismos, y velará por la correcta
aplicación de los ordenamientos establecidos por el Comité y demás disposiciones aplicables para
su preservación e integridad.

La aplicación y entendimiento de estas Normas, estarán a cargo de:

. La Administración de informática: conformada por la Gerencia y los Jefes de Área de Gestión,

y son responsables de:

· Velar por el funcionamiento de la tecnología informática que se utilice en las diferentes

áreas.
· Elaborar y efectuar seguimiento del Plan Maestro de Informática.
· Definir estrategias y objetivos a corto, mediano y largo plazo.
· Mantener la arquitectura tecnológica:
· Controlar la calidad del servicio brindado.
· Mantener el inventario actualizado de los recursos informáticos.
· Velar por el cumplimiento de las Políticas y Procedimientos Establecidos.

. El Comité: conformado por la Gerencia, los Jefes de área de gestión y el personal administrativo
 convocado para los siguientes fines:

· Adquisiciones de hardware y software

· Establecer los estándares “En-core” en hardware y software
· Establecer la arquitectura tecnológica “En-core”.
· Establecer los procedimientos para participar en los concursos de ofertas.

La instancia rectora de los Sistemas de Informática de “En-core” es la Gerencia, y el organismo

competente para la aplicación de este ordenamiento, es el Comité.

Para la elaboración de los proyectos informáticos y para el presupuesto de los mismos, se tomarán
en cuentan tanto las necesidades de hardware y software del área solicitante, como la
disponibilidad de recursos con los que cuenta “En-core”.

Adquisición de Bienes Informáticos

Estas normas aplican para la adquisición y uso de los Bienes y Servicios Informáticos, y serán
acatados por las instancias que intervengan directa y/o indirectamente en ello; su incumplimiento
generará irresponsabilidad administrativa; sujetándose a lo dispuesto en la sección
Responsabilidades Administrativas de Sistemas.

Toda adquisición de tecnología informática se efectuará a través del Comité.

Administración Informática, al planear las operaciones relativas a la adquisición de bienes y/o

servicios informáticos, establecerá prioridades y en su selección deberá tener en cuenta: estudio
técnico, precio, calidad, experiencia, desarrollo tecnológico, estándares y capacidad:

. Precio: costo inicial, costo de mantenimiento y consumibles por el período estimado de uso de los
equipos.

. Calidad: parámetro cualitativo que especifica las características técnicas de los recursos
informáticos.

. Experiencia: presencia en el mercado, estructura de servicio, confiabilidad de los bienes y

certificados de calidad.

. Desarrollo tecnológico: analizar su grado de obsolescencia, nivel tecnológico con respecto a la

oferta existente y permanencia en el mercado.

. Estándares: toda adquisición se basa en los estándares, es decir, en la arquitectura de grupo

empresarial establecida por el Comité; esta arquitectura tiene una permanencia mínima de 2 a 5
años.

. Capacidad: analizar si satisface la demanda actual con un margen de holgura y capacidad de

crecimiento para soportar la carga de trabajo del área.

. Adquisición de Hardware

. El equipo que se desee adquirir deberá estar dentro de las listas de ventas vigentes de los
fabricantes y/o distribuidores del mismo y dentro de los estándares de “En-core”.

. Los equipos complementarios deberán tener una garantía mínima de un año y deberán
contar con el servicio técnico correspondiente en el país.

· Deberán ser equipos integrados de fábrica o ensamblados con componentes previamente

 evaluados por el Comité.

· La marca de los equipos o componentes deberá contar con presencia y permanencia

demostrada en el mercado nacional e internacional, así como con asistencia técnica y
refaccionaria local. Tratándose de microcomputadores, a fin de mantener actualizada la
arquitectura informática de “En-core”, el Comité emitirá periódicamente las especificaciones
técnicas mínimas para su adquisición.
· Los dispositivos de almacenamiento, así como las interfaces de entrada / salida, deberán
estar acordes con la tecnología de punta vigente, tanto en velocidad de transferencia de
datos, como en procesamiento.

· Las impresoras deberán apegarse a los estándares de Hardware y Software vigentes en el

mercado y en “En-core”, corroborando que los suministros (cintas, papel, etc.) se consigan
fácilmente en el mercado y no estén sujetas a un solo proveedor.

· Conjuntamente con los equipos, se deberá adquirir el equipo complementario adecuado

para su correcto funcionamiento, de acuerdo con las especificaciones de los fabricantes, y
que esta adquisición se manifieste en el costo de la partida inicial.

· Los equipos adquiridos deben contar, de preferencia con asistencia técnica durante la
instalación de los mismos.

· En lo que se refiere a los servidores, equipos de comunicaciones, concentradores de

medios (HUBs) y otros equipos que se justifiquen por ser de operación crítica y/o de alto
costo, deben de contar con un programa de mantenimiento preventivo y correctivo que
incluya el suministro de refacciones al vencer su período de garantía.

· En lo que se refiere a los computadores denominados personales, al vencer su garantía

por adquisición, deben de contar por lo menos con un programa de servicio de
mantenimiento correctivo que incluya el suministro de refacciones.

· Todo proyecto de adquisición de bienes de informática, debe sujetarse al análisis,

aprobación y autorización del Comité.

. En la adquisición de Equipo de cómputo se deberá incluir el Software vigente precargado,

con su licencia correspondiente considerando las disposiciones del artículo siguiente.

. Adquisición de Software

Todos los productos de Software que se adquieran para ser utilizados en “En-core”, deberán tener
su respectiva licencia de uso, documentación y garantía respectivos, salvo que sea software GPL.

Sólo en casos excepcionales, se adquirirán las últimas versiones liberadas de los productos
seleccionados, salvo situaciones específicas que se deberán justificar ante el Comité.

Para la adquisición de Software base y utilitarios, el Comité dará a conocer periódicamente las
tendencias de tecnología punta vigentes, siendo la lista de productos autorizados la siguiente:

. Plataformas de Sistemas Operativos

· MS-Windows
· Linux.
· Bases de Datos
· Oracle
 . Lenguajes y herramientas de programación

Los lenguajes y herramientas de programación que se utilicen deben ser compatibles con
las plataformas enlistadas:

· PL/SQL
· JAVA
· ORACLE Forms
· ORACLE Reports
· ORACLE Designer
· ORACLE Workflow Builder
· PL/SQL Developer
· ORACLE JDeveloper
· Macromedia Dreamweaver
· Macromedia Fireworks
· Java Decompiler

. Utilitarios de oficina

· Microsoft Office
· Star Office

. Programas antivirus

· Norton Antivirus
· McAfee

. Manejador de correo electrónico

· Microsoft Outlook

. Navegadores de Internet

· Internet Explorer
· Mozilla Firefox

. Comprimidor de archivos

· WinZip
· WinRAR

Instalación de los equipos de cómputo

La instalación de los equipos de cómputo, estará sujeta a las siguientes condiciones:

· Los equipos para uso interno se instalarán en lugares adecuados, lejos de polvo y tráfico
de personas.

· La Administración de Informática, así como las áreas operativas deberán contar con un
croquis actualizado de las instalaciones eléctricas y de comunicaciones de los equipos de
cómputo en red.

· Las instalaciones eléctricas y de comunicaciones, estarán fijas y resguardadas del paso de

personas o máquinas y libres de cualquier interferencia eléctrica o magnética.
 · Las instalaciones se apegarán estrictamente a los requerimientos de los equipos, cuidando
las especificaciones del cableado y de los circuitos de protección necesarios.

· En ningún caso se permitirán instalaciones improvisadas o sobrecargadas.

. La supervisión y control de las instalaciones se llevará a cabo en los plazos y mediante los
mecanismos que establezca el Comité.
Lineamientos informáticos de la información

La información almacenada en medios magnéticos se deberá inventariar, anexando la descripción

y las especificaciones de la misma, clasificándola en tres categorías:

· Información histórica para auditorías.

· Información de interés de ·En-core”
· Información de interés exclusivo de alguna área en particular.

Los jefes de área responsables de la información contenida en los departamentos a su cargo,

delimitarán las responsabilidades de sus subordinados y determinarán quién está autorizado a
efectuar operaciones emergentes con dicha información, tomando las medidas de seguridad
correspondientes.

Se establecen tres tipos de prioridad para la información:

· Información vital para el funcionamiento del área.

· Información necesaria, pero no indispensable en el área.
· Información ocasional o eventual.

En caso de información vital para el funcionamiento del área, se deberán tener procesos
colaborativos, así como respaldos diarios de las modificaciones efectuadas, rotando los dispositivos
de respaldo y guardando respaldos históricos diariamente.

La información necesaria pero no indispensable, deberá ser respaldada con una frecuencia mínima
semanal, rotando los dispositivos de respaldo y guardando respaldos históricos mensualmente.

El respaldo de la información ocasional o eventual queda a criterio del área.

La información almacenada en medios magnéticos, de carácter histórico, quedará documentada

como activos del área y estará debidamente resguardada en su lugar de almacenamiento
correspondiente.

Es obligación del responsable del área, la entrega conveniente de la información, a quien le suceda
en el cargo.

Los sistemas de información en operación, como los que se desarrollen, deberán contar con sus
respectivos manuales; un manual del usuario que describa los procedimientos de operación y un
manual técnico que describa su estructura interna, programas, catálogos y archivos.

Ningún colaborador en proyectos de software y/o trabajos específicos, deberá poseer, para usos
no propios de su responsabilidad, ningún material o información confidencial de “En-core” tanto
ahora como en el futuro.

Funcionamiento de los equipos de cómputo

Es obligación de la Administración de Informática vigilar que el equipo de cómputo se use bajo las
condiciones especificadas por el proveedor y de acuerdo a las funciones del área a la que se asigne.
Los colaboradores de la empresa al usar el equipo de cómputo, se abstendrán de consumir
alimentos, fumar o realizar actos que perjudiquen el funcionamiento del mismo o deterioren la
información almacenada en medios magnéticos, ópticos, o medios de almacenamiento removibles
de última generación.

Para preservar los recursos informáticos se deben establecer las siguientes seguridades:
· Físicas
· Sistema Operativo
· Software
· Comunicaciones
· Base de Datos
· Proceso
· Aplicaciones

Para ello se establecen los siguientes lineamientos:

· Mantener claves de acceso que permitan el uso solamente al personal autorizado para ello.
· Verificar la información que provenga de fuentes externas a fin de corroborar que esté libre
de cualquier agente contaminante o perjudicial para el funcionamiento de los equipos.
· Mantener pólizas de seguros de los recursos informáticos en funcionamiento

No se autorizará la utilización de dispositivos ajenos a los procesos informáticos del área; por
consiguiente, se prohíbe el ingreso y/o instalación de hardware y software particular, es decir, que
no sea propiedad de “En-core”, excepto en casos emergentes que la Dirección autorice.

Identificadores de usuarios y contraseñas

Todos los usuarios con acceso a un sistema de información o a una red informática, dispondrán de
una única autorización de acceso compuesta de identificador de usuario y contraseña.

Ningún usuario recibirá un identificador de acceso a la Red de Comunicaciones, Recursos

Informáticos o Aplicaciones hasta que no acepte formalmente la Política de Seguridad vigente.

Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para
el desarrollo de sus funciones, conforme a los criterios establecidos por el responsable de la
información.

La longitud mínima de las contraseñas será igual o superior a ocho caracteres, y estarán
constituidas por combinación de caracteres alfabéticos, numéricos y especiales.

Los identificadores para usuarios temporales se configurarán para un corto período de tiempo. Una
vez expirado dicho período, se desactivarán de los sistemas.

Acceso físico

Sólo al personal autorizado le está permitido el acceso a las instalaciones donde se almacena la
información confidencial de la empresa “En-core”.

Sólo bajo la vigilancia de personal autorizado, puede el personal externo entrar en las instalaciones
donde se almacena la información confidencial, y durante un período de tiempo justificado.

Software
Todo el personal que accede a los Sistemas de Información de “En-core” debe utilizar únicamente
las versiones de software facilitadas y siguiendo sus normas de utilización.

Todo el personal tiene prohibido instalar copias ilegales de cualquier programa, incluidos los
estandarizados.

También tiene prohibido borrar cualquiera de los programas instalados legalmente.

Conectividad a Internet

La autorización de acceso a Internet se concede exclusivamente para actividades de trabajo. Todos

los colaboradores de “En-core” tienen las mismas responsabilidades en cuanto al uso de Internet.

El acceso a Internet se restringe exclusivamente a través de la Red establecida para ello, es decir,
por medio del sistema de seguridad con cortafuegos incorporado en la misma. No está permitido
acceder a Internet llamando directamente a un proveedor de servicio de acceso y usando un
navegador, o con otras herramientas de Internet conectándose con un módem.

Internet es una herramienta de trabajo. Todas las actividades en Internet deben estar en relación
con tareas y actividades del trabajo desempeñado.

Sólo puede haber transferencia de datos de o a Internet, en conexión con actividades propias del
trabajo desempeñado.

En caso de tener que producirse una transmisión de datos importante, confidencial o relevante,
sólo se podrán transmitir en forma encriptada.

Recursos de la Red

Ningún usuario puede:

. Conectar a ninguno de los Recursos, ningún tipo de equipo de comunicaciones (Ej. módem)
que posibilite la conexión a la Red Corporativa.

. Conectarse a la Red Corporativa a través de otros medios que no sean los definidos.

. Intentar obtener otros derechos o accesos distintos a aquellos que les hayan sido
asignados.

. Intentar acceder a áreas restringidas de los Sistemas de Información o de la Red

Corporativa.

. Intentar distorsionar o falsear los registros “log” de los Sistemas de Información.

. Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de
seguridad que intervenga en los procesos telemáticos.

. Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo de otros
usuarios, ni dañar o alterar los Recursos Informáticos.

Uso apropiado de los recursos

Los Recursos Informáticos, Datos, Software, Red Corporativa y Sistemas de Comunicación

Electrónica están disponibles exclusivamente para cumplimentar las obligaciones y propósito de la
operatividad para la que fueron diseñados e implantados; todos los usuarios de estos recursos
deben saber que no tienen ningún derecho de confidencialidad en su uso.

Por tanto, está prohibido:

. El uso de estos recursos para actividades no relacionadas con el propósito del negocio, o
bien con la extralimitación en su uso.

. Las actividades, equipos o aplicaciones que no estén directamente especificados como

parte del Software o de los Estándares de los Recursos Informáticos propios de “En-core”.

. Introducir en los Sistemas de Información o la Red Corporativa contenidos obscenos,

amenazadores, inmorales u ofensivos.

Estrategia informática

La estrategia informática de “En-core” se consolida en el Plan Maestro de Informática y está

orientada hacia los siguientes puntos:

· Plataforma de Sistemas Abiertos (Portables).

· Esquemas de operación bajo el concepto multicapas.
· Estandarización de hardware, software base, utilitarios y estructuras de datos.
· Intercambio de experiencias entre Departamentos.
· Manejo de proyectos conjuntos con las diferentes áreas.
· Programa de capacitación permanente para los colaboradores de la empresa.

Plan de contingencias informáticas

La Administración de Informática creará para los departamentos un plan de contingencias

informáticas que incluya los siguientes puntos:

· Continuar con la operación del área con procedimientos informáticos alternos.

· Tener los respaldos de información en un lugar seguro, fuera del lugar en el que se
encuentran los equipos.

· Tener el apoyo por medios magnéticos o en forma documental, de las operaciones

necesarias para reconstruir los archivos dañados.

· Contar con un instructivo de operación para la detección de posibles fallas, para que toda
acción correctiva se efectúe con la mínima degradación posible de los datos.

· Contar con un directorio del personal interno y del personal externo de soporte, al cual se
pueda recurrir en el momento en que se detecte cualquier anomalía.

· Ejecutar pruebas de la funcionalidad del plan.

· Mantener revisiones del plan a fin de efectuar las actualizaciones respectivas.

Actualizaciones de las Políticas de Seguridad Informática

Debido a la vertiginosa evolución y desarrollo de la tecnología, a las amenazas de seguridad, y a

las nuevas aportaciones legales en la materia, “En-core” se reserva el derecho a modificar estas
políticas cuando sea necesario y los cambios realizados serán divulgados a todos los colaboradores
de “En-core”.
Es responsabilidad de todos los empleados de “En-core” la lectura y conocimiento de las Políticas
de Seguridad más recientes.

Responsabilidades personales

. Los usuarios son responsables de toda actividad relacionada con el uso de su acceso autorizado.

. Los usuarios no deben revelar bajo ningún concepto su identificador y/o contraseña a otra persona
ni mantenerla por escrito a la vista, ni al alcance de terceros.

. Los usuarios no deben utilizar ningún acceso autorizado de otro usuario, aunque dispongan de la
autorización del propietario.

. Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y contraseña)

está siendo utilizado por otra persona, debe proceder al cambio de su contraseña e informar a su
jefe inmediato y éste reportar al responsable de la administración de la red.

. La contraseña no debe hacer referencia a ningún concepto, objeto o idea reconocible. Por tanto,
se debe evitar utilizar en las contraseñas fechas significativas, días de la semana, meses del año,
nombres de personas, teléfonos.

. En caso que el sistema no lo solicite automáticamente, el usuario debe cambiar la contraseña

provisional asignada la primera vez que realiza un acceso válido al sistema.

. En el caso que el sistema no lo solicite automáticamente, el usuario debe cambiar su contraseña

como mínimo una vez cada 30 días. En caso contrario, se le podrá denegar el acceso y se deberá
contactar con el jefe inmediato para solicitar al administrador de la red una nueva clave.

. Proteger, en la medida de sus posibilidades, los datos de carácter personal a los que tienen
acceso, contra revelaciones no autorizadas o accidentales, modificación, destrucción o mal uso,
cualquiera que sea el soporte en que se encuentren contenidos los datos.

. Guardar por tiempo indefinido la máxima reserva y no se debe emitir al exterior datos de carácter
personal contenidos en cualquier tipo de soporte.

. Utilizar el menor número de listados que contengan datos de carácter personal y mantener los
mismos en lugar seguro y fuera del alcance de terceros.

. Cuando entre en posesión de datos de carácter personal, se entiende que dicha posesión es
estrictamente temporal, y debe devolver los soportes que contienen los datos inmediatamente
después de la finalización de las tareas que han originado el uso temporal de los mismos.

. Los usuarios sólo podrán crear ficheros que contengan datos de carácter personal para un uso
temporal y siempre necesario para el desempeño de su trabajo. Estos ficheros temporales nunca
serán ubicados en unidades locales de disco de la computadora de trabajo y deben ser destruidos
cuando hayan dejado de ser útiles para la finalidad para la que se crearon.

. Los usuarios deben notificar a su jefe inmediato cualquier incidencia que detecten que afecte o
pueda afectar a la seguridad de los datos de carácter personal: pérdida de listados y/o disquetes,
sospechas de uso indebido del acceso autorizado por otras personas, recuperación de datos.

. Los usuarios únicamente introducirán datos identificativos y direcciones o teléfonos de personas

en las agendas de contactos de las herramientas ofimáticas (por ej., en Outlook)
Salida de información

Toda salida de información (en soportes informáticos o por correo electrónico) sólo podrá ser
realizada por personal autorizado y será necesaria la autorización formal del responsable del área
del que proviene.

Además, en la salida de datos especialmente protegidos (como son los datos de carácter personal
para los que el Reglamento requiere medidas de seguridad de nivel alto), se deberán cifrar los
mismos o utilizar cualquier otro mecanismo que garantice que la información no sea inteligible ni
manipulada durante su transporte.

Prohibiciones

. Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o cualquier otro
dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier
tipo de alteración o daño en los Recursos Informáticos. El personal contratado por “En-core” tendrá
la obligación de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en
los Sistemas de cualquier elemento destinado a destruir o corromper los datos informáticos.

. Intentar destruir, alterar, inutilizar o cualquier otra forma de dañar los datos, programas o
documentos electrónicos.

. Albergar datos de carácter personal en las unidades locales de disco de los computadores de
trabajo.

. Cualquier fichero introducido en la red corporativa o en el puesto de trabajo del usuario a través
de soportes automatizados, Internet, correo electrónico o cualquier otro medio, deberá cumplir los
requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual y
control de virus.

Vigencia

Las disposiciones aquí transcritas, entrarán en vigencia a partir del momento de su publicación.

Las normas y políticas objeto de este documento, podrán ser modificadas o adecuadas conforme
se vayan presentando esas necesidades, por parte del Comité Técnico de Informática (CTI) de “En-
core”, y una vez aprobadas dichas modificaciones o adecuaciones, entrarán en vigencia.

Las disposiciones aquí descritas estarán de forma detallada en los Manuales de Políticas y
Procedimientos específicos por Área de Gestión.

Responsabilidad Administrativa y Penal

La falta de conocimiento de las normas aquí descritas por parte de los colaboradores no los libera
de la aplicación de sanciones y/o penalidades por el incumplimiento de las mismas.

MANUAL DE PROCEDIMIENTOS

Este Manual tiene por objeto estandarizar y contribuir al desarrollo informático de las diferentes
áreas de gestión informática de “En-core”.

Un procedimiento se define como una sucesión cronológica de operaciones concatenadas entre sí,
con el objetivo de obtener un fin o meta. Como nuestra meta es mantener la seguridad de la
organización y mantener estable el algoritmo P-C, debemos contar con una serie de procedimientos
que nos permitan responder de manera apropiada a las situaciones más comunes.
Todos estos procedimientos se deben almacenar en un “Manual de Procedimientos” que debe
ser seguido al pie de la letra.

Procedimiento para proveer Programas de Capacitación

Crear Capacitación Continua para crear cultura para trabajadores en la compañía y protección de
la información. La compañía debe contar con un programa para creación de la cultura en seguridad
de la información, a todos los trabajadores, para asegurar que sean continuamente informados
acerca de sus responsabilidades y de las posibles amenazas a la seguridad de la información.

Procedimiento de Cuentas

Establece principalmente qué es una cuenta de usuario de cómputo, de qué se compone, a qué
tipo de usuario le es otorgada, la persona encargada de asignar los roles, la creación de la misma
y la comunicación. Las cuentas son otorgadas a usuarios legítimos y deben estar conformadas por
un ID o nombre de usuario con su respectivo Password o contraseña.

Procedimiento de alta de Cuentas de Usuario

Este procedimiento se lleva a cabo para cuando se requiere una cuenta de operación para cualquier
usuario. Se debe llenar entonces un formulario en el que existan datos como:

. Nombre y apellido
. Puesto de trabajo
. Jefe de área de gestión que avala el pedido
. Trabajos a realizar en el sistema
. Tipo de cuenta
. Fecha de caducidad
. Permisos de trabajo.

Procedimiento de baja de Cuenta de Usuario

Si un empleado de la organización se debe retirar, sea parcial o totalmente de la organización, debe

realizarse un formulario en el que se indiquen, aparte de los datos del mismo, el tipo de alejamiento
del usuario (parcial o total) para saber si se inhabilita su cuenta totalmente, o de manera temporal.

Procedimiento para determinar de identificación del usuario y su grupo de pertenencia por

defecto

Cuando se crea un usuario en el sistema, se le debe dar una identificación personal y al mismo
tiempo, hacerlo parte de un grupo para que tenga ciertos beneficios. Cuando el usuario va a cambiar
de perfil o de grupo, se necesita entonces un procedimiento que le indique a este los pasos para
cambiar los derechos que posee.

Procedimiento para determinar los buenos Passwords

Se debe tener un procedimiento para indicarles a los usuarios cuales son las características de los
passwords que deben asignar a sus cuentas, como el número de caracteres, las características de
los caracteres usados, etc. Es conveniente usar un programa crackeador (Crack) sobre el password
del usuario para evaluar su seguridad.
Procedimiento de verificación de Accesos

Como generamos logísticos de diferentes datos de los usuarios, estos logísticos deben ser
auditados, para detectar anomalías en cuanto al comportamiento de los mismos y generar reportes
de dichas auditorías, todo esto con el fin de verificar los accesos realizados por los usuarios de la
organización a la red.

Procedimiento para el uso adecuado del Sistema

Se especifica lo relativo a un uso adecuado o inadecuado del sistema por parte de los usuarios,
asimismo lo que está permitido y prohibido dentro del mismo.

Procedimiento para el monitoreo de conexiones activas

Con este procedimiento se evita que el usuario deje su terminal abierta y que otro usuario pueda
usarla de manera mal intencionada. Lo que se hace es detectar el tiempo de inactividad de las
conexiones, y después de un determinado tiempo, se desactiva la conexión, y se genera un logístico
con el acontecimiento.

Procedimiento para el monitoreo de los puertos en la red

Permite saber los puertos habilitados en la red y si funcionan de acuerdo a lo esperado.

Procedimiento para la verificación de las máquinas de los usuarios

Este procedimiento permite el escaneo de las máquinas de los usuarios para la detección de
programas no autorizados, sin licencia o como fuente potencial de virus.

Procedimiento para el chequeo de gráficos de la red

Generar gráficos del tráfico de la red, para observar anomalías en la transferencia de información,
el uso indebido de programas, etc.

Procedimiento para verificar el contenido descargado de internet

La finalidad de este procedimiento, es verificar si el contenido que es descargado de internet por

los usuarios diariamente, corresponde a las labores que verdaderamente tienen que realizar y
garantizar que este contenido no se encuentre infectado por virus.

Procedimiento para el chequeo de volúmenes de correo

Se usa para conocer los volúmenes de tráfico en los correos electrónicos de los usuarios. Con esto,
se permite conocer el uso de los medios de comunicación, el spamming (ataque con correo basura),
entre otros datos referentes a la comunicación o transferencia de información confidencial de la
empresa.

Procedimiento para el bloqueo de páginas web

Este procedimiento permite el bloqueo de páginas Social Media, Facebook, Twitter, Instagram, G+,
YouTube, etc.

Procedimiento para recuperar información

Un procedimiento sin duda muy importante, permite reconstruir todo el sistema, o parte de él, a
través de los backups tomados periódicamente de la información.
Procedimiento de Backups

Detalla cuál es el tipo de información que debe respaldarse, el lapso de tiempo, los medios para
respaldar la información, el lugar donde se deben almacenar los backups.

Procedimiento para modificación de archivos

Es usado para detectar la modificación no autorizada de archivos, la integridad de los mismos, y

para generar un rastro de las modificaciones realizadas.

Procedimiento de autorizaciones para instalación de Software licenciado o GPL

Cualquier software instalado en los sistemas de cómputo de la compañía, debe tener una licencia
válida, deberá ser almacenado en un lugar central (servidor) y no puede ser copiado o duplicado,
excepto si los términos o condiciones de uso de la licencia explícitamente lo permiten. El uso de
software libre deberá ser analizado dentro de los procesos definidos y aprobados por el comité de
Seguridad.

Procedimiento de gestión de cambios tecnológicos

Cada adquisición o cambio tecnológico debe asegurar el cumplimiento de la presente Política y sus
respectivas normas.

Procedimiento para dar a conocer las nuevas Normas de Seguridad

Es muy importante que todos los usuarios conozcan las nuevas medidas de seguridad adoptadas
por la empresa, por lo que se requiere un procedimiento que indique la manera en la que esta será
llevada a cabo. Esto evita la excusa de los usuarios de “no conocía las normas”.

Procedimiento de escaneo antivirus

La compañía debe contar con un proceso controlado para realizar escaneos de información,
semanales o mensuales, para garantizar fiabilidad y destruir posibles troyanos que afecten el
sistema.

Procedimiento para realizar auditoría en cada dependencia

Procedimiento que nos permitiría saber si algún empleado está realizando fraude, robo o
estafa

Procedimiento de veeduría externa de las PSI

Procedimiento para identificación del problema presentado

Procedimiento para la solución del problema presentado

Procedimiento para solicitud, recibo o cambio de dispositivos

Procedimiento para realizar mantenimiento a dispositivos

Procedimiento de mantenimiento preventivo

Procedimiento de mantenimiento correctivo

Procedimiento para la configuración de los dispositivos

Procedimiento para las actualizaciones semestrales de las Políticas de Seguridad

Procedimiento de publicación de eventos en la agenda de los usuarios, para que estos estén
enterados de todos los acontecimientos de la empresa

Procedimiento de asesoría para usuarios de Sistemas de Información

Procedimiento de registro en la Red Administrativa

Procedimiento de actualización y mantenimiento del sitio WEB

¡Correcto! Su tarea aparece en esta página. El número de confirmación de la tarea es

3c1a88bb-223a-4497-8678-1bd07880de13. Copie y guarde este número como prueba de la
entrega.