Política de Uso Aceptable de Activos 8.1.

3
1. Objetivo
Esta política establece las directrices para el uso responsable y seguro de todos los
activos de la organización, en conformidad con el estándar ISO 27001 Seguridad de
la información Su objetivo es proteger los activos, garantizar la seguridad de la
información, cumplir con las regulaciones, promover la productividad y minimizar
los riesgos.
2. Alcance
Esta política aplica a todos los empleados, contratistas, consultores y cualquier
persona que tenga acceso a los activos de la organización, incluyendo:
 Activos físicos: Equipos informáticos, dispositivos móviles, instalaciones,
maquinaria, etc.
 Activos de información: Datos, software, propiedad intelectual,
información confidencial, etc.
 Recursos de comunicación: Correo electrónico, internet, redes sociales,
telefonía, etc.
3. Responsabilidades
 Todos los usuarios: Utilizar los activos de forma responsable y de acuerdo
con esta política. Informar cualquier incidente de seguridad.
 Gerentes y supervisores: Asegurar que su equipo conozca y cumpla esta
política. Supervisar el uso de los activos.
 Departamento de TI: Implementar y mantener medidas de seguridad.
Proporcionar capacitación y soporte.
 Oficial de Seguridad de la Información (ISO): Supervisar la
implementación y cumplimiento de esta política.
4. Uso Aceptable
 Uso autorizado: Los activos se utilizarán únicamente para fines comerciales
legítimos. El uso personal está permitido siempre que no interfiera con el
trabajo, viole esta política o comprometa la seguridad.
 Acceso a la información: El acceso a la información se limitará a lo
necesario para el desempeño laboral. El acceso a información confidencial se
restringirá según la necesidad de conocer.
 Software y hardware: Se utilizará únicamente software y hardware
autorizado. No se permite la instalación o modificación no autorizada.
 Recursos de comunicación: Se utilizarán de manera profesional y
respetuosa. No se permite contenido inapropiado, ilegal o dañino para la
reputación de la organización.
  Redes sociales: El uso debe ser coherente con la imagen y valores de la
organización. Se debe tener cuidado al compartir información y evitar
contenido perjudicial o que comprometa la confidencialidad.
 Contraseñas: Se utilizarán contraseñas robustas y se cambiarán
periódicamente. No se compartirán contraseñas.
 Dispositivos móviles: Se protegerán con contraseñas y software de
seguridad. Se informará de inmediato en caso de pérdida o robo.
 Copia de seguridad: Se realizarán copias de seguridad periódicas de la
información crítica.
 Incidentes de seguridad: Se informará de inmediato cualquier incidente de
seguridad, como pérdida de dispositivos, acceso no autorizado o sospecha de
violación de datos.
5. Prohibiciones
 Mal uso: Queda prohibido cualquier uso que viole esta política, las leyes o
que pueda dañar a la organización o terceros.
 Robo, daño o pérdida: Se deben tomar precauciones para evitar el robo,
daño o pérdida de activos.
 Acceso no autorizado: No se intentará acceder a información o sistemas
sin autorización.
 Instalación de software no autorizado: No se instalará software no
autorizado o potencialmente malicioso.
 Divulgación de información: No se divulgará información confidencial sin
autorización.
 Uso indebido de recursos: No se utilizarán los recursos para actividades
ilegales, inapropiadas o que consuman excesivos recursos.
6. Cumplimiento y Sanciones
El incumplimiento puede resultar en medidas disciplinarias, incluyendo la
terminación del empleo o contrato. Los usuarios pueden ser responsables de los
daños causados.
7. Gestión de Activos (ISO 27001:2013 - A.8)
 Inventario de Activos: Se mantendrá un inventario actualizado de todos los
activos, incluyendo su clasificación y propietario.
 Clasificación de la Información: Se clasificará la información según su
sensibilidad y se aplicarán controles de acceso adecuados.
 Etiquetado de Activos: Los activos se etiquetarán para facilitar su
identificación y gestión.
  Gestión de Activos de Medios: Se controlará el uso y almacenamiento de
medios extraíbles.
 Responsabilidad por los Activos: Se asignará la responsabilidad de los
activos a propietarios específicos.
8. Control de Acceso (ISO 27001:2013 - A.9)
 Gestión de Acceso de Usuarios: Se implementarán procedimientos para la
creación, modificación y eliminación de cuentas de usuario.
 Control de Acceso a la Red: Se controlará el acceso a la red mediante
firewalls y otros mecanismos de seguridad.
 Control de Acceso a Sistemas Operativos: Se restringirá el acceso a
sistemas operativos mediante contraseñas y otros controles.
 Control de Acceso a Aplicaciones: Se implementarán controles de acceso
a nivel de aplicación.
 Uso de Privilegios de Administrador: Se restringirá el uso de privilegios
de administrador.
9. Revisiones y Actualizaciones
Esta política se revisará y actualizará periódicamente. Los usuarios serán
notificados de los cambios.
Al utilizar los activos de la organización, usted acepta cumplir con esta
política.
Fecha de vigencia: [Fecha]
Firma: [Nombre y cargo del responsable de la aprobación]