Gestión de la Seguridad de los Activos

5.2.1 Resguardo y Protección de la Información​

Cualquier persona de la Organización que detecte algún riesgo, real o potencial, para los equipos informáticos o de comunicaciones (fugas de agua, conatos de incendio, etc.), se lo comunicará, de forma inmediata, al Departamento de Sistemas.

Cuando el responsable de un puesto de trabajo lo abandone, deberá dejarlo en un estado que impida la visualización de los datos o el acceso al mismo por personal no autorizado. Para ello, al finalizar la jornada o en pausas prolongadas con ausencia del puesto de trabajo, el usuario deberá dejarlo de modo que sea necesario identificarse y autenticarse de nuevo ante el sistema.

En el caso de las impresoras, se deberá asegurar que no queden documentos impresos que contengan datos de carácter personal o confidencial.

El usuario está obligado a utilizar su equipo y sus datos sin incurrir en actividades que puedan ser consideradas ilícitas o ilegales, que infrinjan los derechos de la Organización o de terceros, o que puedan atentar contra la moral o las normas de seguridad definidas por ésta.

Los puestos de trabajo estarán bajo la responsabilidad del usuario que ha de garantizar que la información que se muestra no puede estar visible a personas no autorizadas.

Es responsabilidad de cada trabajador evitar en todo momento la fuga de la información de la Organización y/o de sus Clientes, que se encuentre almacenada en los equipos informáticos bajo su responsabilidad.

5.2.2 Controles de acceso físico​

Cualquier usuario que tenga acceso a las instalaciones de la Organización deberá estar identificado y registrado por el Departamento de Sistemas, a excepción de las visitas, que serán identificadas por el personal de recepción a su llegada.

5.2.3 Seguridad en las áreas de trabajo​

Las instalaciones de la Organización son áreas restringidas, por lo que sólo el personal autorizado por ésta puede acceder a ellas.

5.2.4 Protección y Ubicación de los equipos​

Los usuarios no deben mover o reubicar los equipos informáticos o de comunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorización del Departamento de Sistemas, debiéndose solicitar a la misma en caso de requerir este servicio.

El equipo informático asignado deberá ser para uso exclusivo de las funciones asignadas al usuario.

Está prohibido que el usuario abra o desarme cualquier equipo informático de la Organización.

5.2.5 Mantenimiento de los equipos​

Únicamente el personal autorizado por el Departamento de Sistemas podrá llevar a cabo los servicios de mantenimiento y reparaciones a los equipos informático.

Los usuarios deberán asegurarse de respaldar la información que considere relevante cuando el equipo sea enviado a reparación y borrar aquella información sensible que se encuentre en el equipo previendo así la pérdida involuntaria de información, derivada de proceso de reparación, solicitando la ayuda del Departamento de Sistemas.

5.2.6 Pérdida o Transferencia de los equipos​

El usuario que tenga bajo su resguardo algún equipo informático será responsable de su uso y custodia.

Los equipos móviles tienen el carácter de personal y será intransferible. Por tal motivo, queda prohibido su préstamo a otro usuario.

El usuario deberá dar aviso de inmediato al Departamento de Sistemas de la desaparición, robo o extravío del equipo informático o accesorios bajo su resguardo.

5.2.7 Mesas y Pantallas limpias​

La Organización ha definido, en el documento de Mesas y Pantallas Limpias, las instrucciones de regulación de custodia de la información soportada en papel o en dispositivos electrónicos o magnéticos, que se encuentren en las mesas de trabajo.

Una vez terminada la jornada laboral todo soporte físico que haya sido utilizado ha de ser guardado en un lugar seguro y no visible, no debiendo quedar encima de las mesas de trabajo ningún elemento susceptible de contener cualquier tipo de información.

Al finalizar la jornada de trabajo, los puestos de trabajo y/o equipos portátiles deben quedar apagados. En el caso de que sea necesario que permanezcan encendidos, la pantalla debe estar bloqueada.

5.3.1 Uso de medios de almacenamiento​

No debe existir información de la Organización, ni de ninguno de sus clientes, en herramientas y sistemas de intercambio de información ajenos a la organización, tales como, por ejemplo:

• Portales para almacenar y compartir información en Internet (Dropbox, Onedrive personal, SharePoint personal y similares).
• Herramientas y servicios para administrar proyectos colaborativos en internet (p. ej. Trello, Pastebin , etc.).
• Correos personales.

Los servicios anteriormente mencionados no están homologados por la Organización ni cumplen con los requerimientos de seguridad ni de protección de datos necesario.

Aquel usuario que mande o mantenga información y/o datos de la Organización o de alguno de sus clientes se convierte automáticamente en responsable del tratamiento, lo que tiene además repercusiones legales.

Normalmente, la prestación del servicio se realiza contra los servidores que la Organización ha puesto a tal fin, quedando prohibido, salvo que quede autorizado por el Departamento de Sistemas, la realización de copias de información.

Dichas copias son realizadas por la propia Organización como parte de las medidas de seguridad implementadas por la misma.

En caso de que, por el volumen de información, se requiera algún respaldo en un medio de almacenamiento externo, éste deberá solicitarse al Departamento de Sistemas, que valorará la necesidad o no de la propuesta.

5.3.2 Instalación de Software​

Los usuarios que requieran la instalación de un programa (software) que no sea propiedad de la Organización, deberán justificar su uso y solicitar su autorización al Departamento de Sistemas. Éste valorara la necesidad o no de instalación de dicho software.

Los usuarios no pueden instalar cualquier tipo de programa (software) en sus equipos, servidores o cualquier equipo conectado a la red de la Organización.

Del mismo modo, no podrán borrar, desinstalar o modificar cualquiera de los programas (software) instalados por la Organización sin la autorización del Departamento de Sistemas.

5.3.3 Incidentes de Seguridad​

El usuario que sospeche o tenga conocimiento de la ocurrencia de un incidente de seguridad informática deberá reportarlo, lo antes posible, al Departamento de Sistemas indicando claramente los datos por los cuales lo considera un incidente de seguridad informática.

Cuando exista la sospecha o el conocimiento de que información confidencial o reservada ha sido revelada, modificada, alterada o borrada sin la autorización correspondiente, el usuario deberá notificárselo, a la mayor brevedad, al responsable de Seguridad.

Cualquier incidente generado durante la utilización u operación de los activos de tecnología de información de la Organización, debe ser reportado al Departamento de Sistemas.

5.3.4 Administración de la Configuración​

Los usuarios no deben establecer redes de área local, conexiones remotas a redes internas o externas, intercambio de información con otros equipos informáticos utilizando el protocolo de transferencia de archivos (FTP), u otro tipo de protocolo para la transferencia de información empleando la infraestructura de red de la Organización, sin la autorización por parte del Departamento de Sistemas.

5.3.5 Seguridad de la Red​

Será considerado como un ataque a la seguridad informática y una falta grave, cualquier actividad no autorizada por la Organización en la cual los usuarios realicen la exploración de los recursos informáticos en la red de la Organización, así como de las aplicaciones que sobre dicha red operan, con fines de detectar y mostrar una posible vulnerabilidad.

5.3.6 Uso del correo electrónico​

Los usuarios no deben usar cuentas de correo electrónico asignadas a otras personas, ni recibir mensajes en cuentas de otros. Si fuera necesario leer el correo de alguien más (mientras esta persona se encuentra fuera o ausente), se lo comunicará al Departamento de Sistemas que redireccionará el correo a otra cuenta de correo interno, quedando prohibido hacerlo a una dirección de correo electrónico externa a la Organización.

Los usuarios deben tratar los mensajes de correo electrónico y archivos adjuntos como información que es propiedad de la Organización. Los mensajes de correo electrónico deben ser manejados como una comunicación privada y directa entre emisor y receptor.

Los usuarios podrán enviar información reservada y/o confidencial exclusivamente a personas autorizadas y en el ejercicio estricto de sus funciones y atribuciones, y siempre a través del correo corporativo que le proporcionó la Organización.

El usuario utilizará el correo electrónico corporativo de la Organización, proporcionado y validado por el Departamento de Sistemas, exclusivamente para los recursos que tenga asignados y las facultades que les hayan sido atribuidas para el desempeño de su trabajo, quedando prohibido cualquier otro uso distinto.

Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usuario de correo electrónico.

5.3.7 Controles contra código malicioso​

Para prevenir infecciones por virus informáticos, los usuarios, deben evitar hacer uso de cualquier clase de software que no haya sido proporcionado y validado por el Departamento de Sistemas.

Los usuarios deben verificar que la información y los medios de almacenamiento, considerando al menos memorias USB, discos duros portatiles, estén libres de cualquier tipo de código malicioso, para lo cual deben ejecutar el software antivirus autorizado por el Departamento de Sistemas.

El usuario debe verificar, mediante el software de antivirus autorizado por el Departamento de Sistema, que estén libres de virus todos los archivos informáticos, bases de datos, documentos u hojas de cálculo, etc. que sean proporcionados por personal externo o interno, considerando que tengan que ser descomprimidos.

Ningún usuario debe intencionalmente escribir, generar, compilar, copiar, propagar, ejecutar o tratar de introducir código informático diseñado para auto replicarse, dañar o en otros casos impedir el funcionamiento de cualquier memoria de ordenador, archivos de sistema o software. Tampoco debe probarlos en cualquiera de los ambientes o plataformas de la Organización. El incumplimiento de este estándar será considerado una falta grave.

Ningún usuario o personal externo de la Organización podrá bajar o descargar software de sistemas, boletines electrónicos, sistemas de correo electrónico, de mensajería instantánea y redes de comunicaciones externas, sin la debida autorización del Departamento de Sistemas.

Cualquier usuario que sospeche de alguna infección por virus de un equipo, deberá dejar de usarlo inmediatamente y avisar al Departamento de Sistemas para la detección y erradicación de dicho virus.

Los usuarios no deberán alterar o eliminar las configuraciones de seguridad para detectar y/o prevenir la propagación de virus que sean implantadas por la Organización en programas tales como:

• Antivirus
• Correo electrónico
• Paquetería Office
• Navegadores
• Otros programas

5.3.8 Uso de Internet​

Todos los accesos a internet tienen que ser realizados a través de los canales de acceso provistos por la Organización.

Está prohibido el acceso a páginas no autorizadas.

5.4.1 Controles de acceso lógico​

El acceso a la infraestructura tecnológica de la Organización para personal externo debe ser autorizado por el responsable del departamento correspondiente, quien deberá notificarlo al Departamento de Sistemas, quien lo habilitará.

Está prohibido que los usuarios utilicen la infraestructura tecnológica de la Organización para obtener acceso no autorizado a la información u otros sistemas de información de la Organización o de alguno de sus clientes.

Todos los usuarios deberán autenticarse por los mecanismos de control de acceso provistos por el Departamento de Sistemas antes de poder usar la infraestructura tecnológica de la Organización.

Los usuarios no deben proporcionar información a personal externo de los mecanismos de control de acceso a las instalaciones e infraestructura de la Organización, a menos que se tenga autorización de la Dirección.

Cada usuario que accede a la infraestructura tecnológica de la Organización debe contar con un identificador de usuario único y personalizado, por lo cual no está permitido el uso de un mismo identificador de usuario por varios usuarios.

Los usuarios tienen prohibido compartir su identificador de usuario y contraseña, ya que todo lo que ocurra con ese identificador y contraseña será responsabilidad exclusiva del usuario al que pertenezcan, salvo prueba de que le fueron usurpados esos controles.

Los usuarios tienen prohibido usar el identificador de usuario y contraseña de otros.

5.4.2 Administración de privilegios​

Cualquier cambio en los roles y responsabilidades de los usuarios que modifique sus privilegios de acceso a la infraestructura tecnológica de la Organización, deberán ser notificados por escrito o vía correo electrónico al Departamento de Sistemas con el visto bueno del responsable del área solicitante, para realizar el ajuste.

5.4.3 Equipo desatendido​

Los usuarios deberán mantener sus equipos informáticos con controles de acceso como contraseñas y protectores de pantalla, previamente instalados y autorizados por el Departamento de Sistemas, como una medida de seguridad cuando el usuario necesita ausentarse de su escritorio por un tiempo.

5.4.4 Administración y uso de contraseñas​

La asignación de la contraseña para acceso a la red y la contraseña para acceso a los sistemas debe ser realizada de forma individual, por lo que queda prohibido el uso de contraseñas compartidas.

Cuando un usuario olvide, bloquee o extravíe su contraseña, deberá reportarlo por escrito al Departamento de Sistemas, indicando si es de acceso a la red o a módulos de sistemas desarrollados por la Organización, para que se le proporcione una nueva contraseña.

Está prohibido que los identificadores de usuarios y contraseñas se encuentren de forma visible en cualquier medio impreso o escrito en el área de trabajo del usuario, de manera que se permita a personas no autorizadas su conocimiento.

Todo usuario que tenga la sospecha de que su contraseña es conocido por otra persona, tendrá la obligación de cambiarla inmediatamente.

5.4.5 Derechos de Propiedad Intelectual​

Está prohibido, por las leyes de derechos de autor y por la propia Organización, realizar copias no autorizadas de software, ya sea adquirido o desarrollado por la Organización.

Los sistemas desarrollados por personal, interno o externo, de la Organización, o sea coordinado por ésta, son propiedad intelectual de la Organización.

5.4.6 Violaciones de Seguridad Informática​

Está prohibido el uso de herramientas de hardware o software para violar los controles de seguridad informática de la Organización. A menos que se autorice por la Dirección.

Está prohibido realizar pruebas de controles de los diferentes elementos de Tecnología de la Información.

Ninguna persona puede probar o intentar comprometer los controles internos a menos de contar con la aprobación del Departamento de Sistemas.

Ningún usuario debe probar o intentar probar fallas de la Seguridad Informática identificadas o conocidas, a menos que estas pruebas sean controladas y aprobadas por el Departamento de Sistemas.

No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar, propagar, ejecutar, introducir cualquier tipo de código (programa) conocidos como virus, malware, spyware, o similares diseñado para auto replicarse, dañar, afectar el desempeño, acceso a las computadoras, redes e información de la Organización.