Objetivo

Establecer las Políticas Generales a contemplar en el uso de los recursos y

servicios de Tecnología de Información y Comunicaciones, para asegurar la
integridad y disponibilidad de la infraestructura tecnológica y la confidencialidad
e integridad de la información que se manipula a través de ella.

Alcance

Las Políticas Generales establecidas en este manual regirán para todos los
miembros de la compañía y deberán ser acatadas por todas aquellas personas
que en el ejercicio de sus labores interactúen con los servicios y recursos de
Tecnología de Información y Comunicaciones de la compañía tanto en forma
directa (trabajadores) como indirecta (Proveedores, Consultores y Asesores,
usuarios externos u otros terceros).
Seguridad Física

✓ Los centros de computo deben contar un sistema de control de acceso

tales como puertas de seguridad o control de tarjetas inteligentes.
✓ Las personas que ingresen al centro de cómputo deben dejar registro
en la bitácora de la actividad que realizaron en esta área.
✓ Los computadores deben estar ubicados en lugares donde eviten el
uso no autorizado de otros funcionarios.
✓ Se debe contar con cámaras de circuito cerrado que monitoree el
ingreso de toda persona a las diferentes áreas, las grabaciones deben
ser revisadas por la coordinadora administrativa cada 3 días y reportar
a la gerencia cualquier novedad.
✓ Los escritorios deben quedar limpios, no deben tener información
sensible o confidencial a la vista durante el fuera de horario, la
información debe quedar almacenada en un cajón bajo llave.
✓ No se deben consumir o beber cerca a los equipos de cómputo, ya que
esto puede causar daños en los equipos y circuito electrónico.
✓ Los extintores deben estar ubicados en áreas estratégicas de la oficina
y deben ser de tal uso.
✓ Identificar todas las salidas de emergencia en caso de evacuación.
✓ El ingreso de equipos portátiles que debe ser autorizado y registrado
en la bitácora de la compañía.
✓ Los equipos no deben ser retirados de la compañía sin autorización de
tecnología y el visto bueno de la gerencia.
✓ Los equipos portátiles deben permanecer con una guaya de seguridad
o en cajones bajo llave una vez finalice la jornada laboral.

Seguridad de red

✓ Los computadores deben tener instalado un antivirus con una consola

centralizada de administración, que se mantenga siempre activo
monitoreando controlando en acceso de intrusos o virus al equipo.
✓ Se deben establecer grupos de navegación en firewall para que los
funcionarios solo puedan navegar a las paginas que van de la mano
con sus funciones.
✓ El correo electrónico asignado solo debe ser de uso profesional, la
compañía puede tomar decisiones de borrado de la información que
encuentre en este recurso asignado sin aviso alguno.
 ✓ Para acceder a la red de la compañía se debe contar con un usuario y
contraseña que permita validar que el usuario que se va conectar a la
red está autorizado.
✓ Antes de conectar un equipo a la red de la compañía debe ser validado
por el área de tecnología con el fin de asegurar que es seguro conectar
el pc.
✓ Todas las contraseñas que se encuentren establecidas por defecto en
los servidores, firewall u otros se deben cambiar.
✓ Los dispositivos móviles como celulares y tables se deben conectar a
una red wifi separada de la red de la compañía, esto se debe a que los
dispositivos móviles no están bajo la administración del área de
tecnología.
✓ Todos los servidores deben contar con una contraseña única, esto
para evitar que si es descifrada una contraseña el atacante pueda
acceder a todos los servidores.
Seguridad humana
✓ Los mecanismos de acceso que les sean otorgados a los funcionarios
son responsabilidad exclusiva de cada uno de ellos y no deben ser
divulgados a ninguna persona, a menos que exista un requerimiento
legal o medie un procedimiento de custodia compartida de llaves. De
acuerdo con lo anterior, los usuarios no deben obtener las claves u
otros mecanismos de acceso de otros usuarios que pueda permitirles
un acceso indebido. (ver procedimiento de cuentas y contraseñas)
✓ Los usuarios son responsables de todas las actividades llevadas a
cabo con su código de usuario y clave personal.
✓ Los usuarios de los sistemas deberán realizar el cambio de sus
contraseñas de manera periódica, es decir al menos con tres meses
de periodicidad.
✓ Los usuarios deben informar inmediatamente al área de Tecnología
toda vulnerabilidad encontrada en los sistemas, aparición de virus o
programas sospechosos e intentos de intromisión y no deben distribuir
este tipo de Información interna o externamente.
✓ Todo funcionario que utilice los recursos de los sistemas tiene la
responsabilidad de velar por la integridad, confidencialidad,
disponibilidad y confiabilidad de la información que maneje,
especialmente si dicha información ha sido clasificada como crítica.
✓ Los usuarios no deben intentar sobre pasar los controles de seguridad,
examinar los computadores, las redes en busca de encontrar archivos
no autorizados o con el fin de hacer daño.
✓ Los usuarios son responsables de mantener actualizada la información
en la carpeta de red asignada para que esta sea respalda por procesos
de backups.
Sistemas Operativos
✓ Los sistemas operativos instalados en los equipos de computo y
servidores deben ser licenciados y contar con soporte por parte del
proveedor.
✓ Los sistemas operativos deben ser actualizados cada mes o cada vez
que el proveedor lo solicite.
✓ Se deben definir roles y permisos que puedan interactuar en los
sistemas operativos.
✓ No se puede instalar software sin autorización del área de tecnología
y previa validación de esta.
✓ Los sistemas operativos deben estar correctamente licenciados para
evitar multas y software pirata.
✓ Se debe realizar un mantenimiento cada año al sistema operativo.

Seguridad en aplicaciones
✓ El software contará con acceso controlado que permita al propietario del
recurso restringir el acceso al mismo. El software protegerá los objetos
para que los procesos y/o los usuarios no los puedan acceder sin los
debidos permisos. Cada usuario se identificará por medio de un único
código de identificación de usuario y clave, antes de que se le permita
el acceso al sistema.
✓ El área de desarrollos de sistemas no hará cambios al software de
producción sin las debidas autorizaciones por escrito y sin cumplir con
los procedimientos establecidos. A su vez, se contará con un
procedimiento de control de cambios que garantice que sólo se realicen
las modificaciones autorizadas.
✓ La documentación de todos los cambios hechos al software se
preparará simultáneamente con el proceso de cambio. Se deberá
considerar, además, que cuando un tercero efectúe ajuste al software,
éste deberá firmar un acuerdo de no divulgación y utilización no
autorizada del mismo.
✓ La información debe estar cifrada en el lugar de almacenamiento y debe
contar con backups diarios.
✓ Todas las aplicaciones se clasificarán en una de las siguientes
categorías: Misión Crítica, Prioritaria y Requerida. Para las de misión
crítica y prioritaria deberá permanecer una copia actualizada y su
documentación técnica respectiva, como mínimo en un sitio alterno y
seguro de custodia.
✓ Se debe hacer un mantenimiento de las aplicaciones y desarrollar
nuevas actualizaciones de seguridad conforme a cómo avanza la
tecnología y aparecen nuevas amenazas tecnológicas.
 ✓ Las aplicaciones deben con certificados de transmisión de datos que
permitan cifrar la información de cada petición realizada desde la
misma.
✓ Todas las contraseñas deben ser cifradas antes de ser registradas en
la base de datos de usuarios para que no se pueda vulnerar la seguridad
de la aplicación por personas no autorizadas.
✓ La aplicación debe contar con un log de registro de todos los usuarios
que ingresaron al sistema y de cada una transacción que sea definida
como critica.

Seguridad en SGBD
✓ Las personas que trabajen directamente sobre el SGBD deben de
contar con capacitación y experiencia que los califique como aptos para
el cargo.
✓ Se debe contar con un backup de la base antes que permita la
recuperación de la información en caso de perdida.
✓ Todos los usuarios que se utilicen para trabajar directamente sobre el
motor de bases de datos de contar con los privilegios de acuerdo a sus
funciones.
✓ Los únicos que pueden usuarios el perfil de administradores de la base
de datos son los DBA.
✓ La base de datos debe estar separada del servidor de aplicaciones para
mejorar el rendimiento de la aplicación.
✓ En el desarrollo de bases de datos se debe seguir el estándar elaborado
por la compañía a la hora de escribir código.
✓ Los bases de datos deben contar son su diagrama y documentación de
toda la funcionalidad en existe en ella.
✓ Solo está autorizado a utilizar bases de datos SQL SERVER que
cuenten con soporte del proveedor.

Sanciones
1. El usuario deberá utilizar los recursos de la red exclusivamente para las
actividades a las cuales ha sido autorizado y se compromete al cumplimiento
de las normas establecidas bajo el marco legal vigente de la compañía.
2. Se deberá seguir proceso disciplinario formal según esté contemplado en los
reglamentos, normas y procedimientos que rigen al personal y especialmente
a los que rigen a las TICs, cumpliendo con la legislación y normativa vigente
señalada en las Normas de seguridad de tecnologías de información para su
cumplimiento.