POLTICAS DE

SEGURIDAD DE
AFOCAT

INTRODUCCIN
La seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones y
nuevas plataformas tecnolgicas disponibles. La posibilidad de interconectarse a travs
de redes, ha abierto nuevos horizontes en las empresas para mejorar su productividad y
poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado
consigo, la aparicin de nuevas amenazas para los sistemas de informacin.
Estos riesgos que se enfrentan han llevado a que muchos desarrollen documentos y
directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y
recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso
indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios
y operaciones de la empresa.
Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya
que las mismas establecen un canal formal de actuacin del personal, en relacin con
los recursos y servicios informticos de la organizacin.
En este sentido, las polticas de seguridad informtica surgen como una herramienta
organizacional para concientizar a los colaboradores de la organizacin sobre la
importancia y sensibilidad de la informacin y servicios crticos que permiten a la
empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer o identificar
una poltica de seguridad requiere un alto compromiso con la organizacin, agudeza
tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha
poltica en funcin del dinmico ambiente que rodea las organizaciones modernas.
No se puede considerar que una poltica de seguridad informtica es una descripcin
tcnica de mecanismos, ni una expresin legal que involucre sanciones a conductas de
los empleados, es ms bien una descripcin de los que deseamos proteger y l por qu
de ello, pues cada poltica de seguridad es una invitacin a cada uno de sus miembros a
reconocer la informacin como uno de sus principales activos as como, un motor de
intercambio y desarrollo en el mbito de sus negocios. Por tal razn, las polticas de
seguridad deben concluir en una posicin consciente y vigilante del personal por el uso
y limitaciones de los recursos y servicios informticos.

I.

OBJETIVOS
El objetivo general consiste en disear polticas de seguridad, en
colaboracin con clientes y proveedores correctamente alineadas con las
necesidades del negocio.
Minimizar los riesgos de seguridad que amenacen la continuidad del servicio
en AFOCAT

Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las normas y
mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas
de la organizacin.
II. ALCANCE
Las polticas definidas en el presente documento se aplican a las reas de
ADMINISTRACION DE PREVENCION DE SINIESTROS, ESTADISTICA Y SISTEMAS
y otras personas relacionadas con terceras partes que utilicen la plataforma
tecnolgica y recursos tecnolgicos de la organizacin.

III. DEFINICIONES
Entindase para el presente documento los siguientes trminos:

AFOCAT: Asociacin

Poltica: Son instrucciones mandatarias que indican la intencin de la

administracin respecto a la operacin de la organizacin.
Recursos informticos: Elementos informticos (base de datos, sistemas
operacionales, redes, sistemas de informacin y comunicaciones) que
facilitan servicios informticos.
Informacin: Cualquier forma de registro electrnico, ptico, magntico o
en otros medios similares, susceptibles de ser procesada, distribuida y
almacenada.
Usuarios terceros: Todas aquellas personas naturales o jurdicas, que no
son funcionarios de AFOCAT, pero que por las actividades que realizan en la
Entidad, deban tener acceso a Recursos Informticos.
Proceso Crtico: Proceso considerado indispensable para la continuidad de
las operaciones y servicios de la institucin.
Riesgo de operacin: Entindase por riesgo de operacin a la posibilidad
de ocurrencia de prdidas financieras o fallas en los procesos internos, en la
tecnologa de informacin, en las personas o por ocurrencia de eventos
externos adversos.
Riesgos de tecnologa de informacin: Los riesgos de operacin
asociados a los sistemas informticos y a la tecnologa relacionada a dichos
sistemas, que pueden afectar al desarrollo de las operaciones y servicios
que realiza la empresa al atentar contra la confidencialidad, integridad y
disponibilidad de la informacin, entre otros criterios.
Seguridad de la informacin: Caracterstica de la informacin que se
logra mediante la adecuada combinacin de polticas, procedimientos,
estructura organizacional y herramientas informticas especializadas a
efectos que dicha informacin cumpla los criterios de confidencialidad,
integridad y disponibilidad.

Confidencialidad: La informacin debe ser accesible slo a aquellos que se

encuentren debidamente autorizados.
Integridad: La informacin debe ser completa, exacta y vlida.
Disponibilidad: La informacin debe estar disponible en forma organizada
para los usuarios autorizados cuando sea requerida.
Objetivo de Control: Una declaracin del propsito o resultado deseado
mediante la implementacin de controles apropiados en una actividad de
tecnologa de informacin particular.
Legalidad: Referido al cumplimiento de las leyes, normas,
reglamentaciones o disposiciones a las que est sujeto la organizacin.
Responsabilidad: Significa en trminos de Tecnologa de Informacin,
determinar qu individuo en una organizacin es responsable directo en
cuanto a los recursos de cmputo e informacin.

IV. RESPONSABILIDAD
Las Polticas de Seguridad son de aplicacin obligatoria para todo el
personal AFOCAT, cualquiera sea su condicin laboral, el rea en la
cual se encuentre laborando y cualquiera sea el nivel de las tareas
que desempee.

La Administracin o quin desempee esas funciones, cumplir la funcin

de notificar a todo el personal nuevo que ingresa a laborar en AFOCAT, de
sus obligaciones respecto del cumplimiento de las Polticas de Seguridad y
de todas las normas, procedimientos y prcticas que de ella surjan.
Asimismo, tendr a su cargo la notificacin de la presente Poltica a todo el
personal, de los cambios que en ella se produzcan, la implementacin de la
suscripcin de los Compromisos de Confidencialidad (entre otros) y las
tareas de capacitacin permanente en materia de seguridad.

Los usuarios de la informacin y de los sistemas utilizados para su

procesamiento son responsables de conocer, dar a conocer, cumplir y hacer
cumplir las Polticas de Seguridad de la Informacin vigente.

V. POLTICAS DE SEGURIDAD

5.1

POLTICAS GENERALES

a. Toda persona que utilice o tenga acceso a los bienes informticos

de la institucin deber observar lo prescrito en el presente
documento. El desconocimiento del mismo, no lo exonera de las
responsabilidades asociadas con su incumplimiento.
b. Todo diseo, desarrollo, implementacin y operacin deber
incorporar mecanismos de identificacin, autenticacin, control
de acceso, auditoria e integridad.
c. Proveedores o terceras personas solamente deben tener
privilegios durante el periodo del tiempo requerido para llevar a
cabo las funciones aprobadas.

d. Velar por la integridad de las estaciones de trabajo durante su

uso y cooperar con ello cuando no lo est usando.
e. Est terminantemente prohibido el ingreso de alimentos a las
oficinas y/o reas donde se cuente con los recursos informticos,
dado que los residuos que estos suelen dejar pueden ser
perjudiciales para los dispositivos de los equipos informticos.
f.

Est terminantemente prohibido

alcohlicas a las oficinas y/o reas.

fumar

llevar

bebidas

g. Debe existir una adecuada y documentada separacin de

funciones dentro de las reas que cuenten con recurso
informtico.
h. Todos los escritorios o mesas de trabajo deben permanecer
limpios para proteger documentos en papel y dispositivos de
almacenamiento como CD,s, usb memory key, disquetes, con fin
de reducir los riesgos de acceso no autorizado, perdida y dao de
la informacin durante el horario normal de trabajo y fuera del
mismo.

5.2

PARA LOS USUARIOS

5.2.1 De la Estacin de Trabajo.

La Estacin de Trabajo es de uso exclusivo para el desarrollo de las
actividades y fines institucionales, siendo responsable del uso del mismo, el
Usuario determinado.
Las nicas personas que pueden operar los equipos de cmputo es el
Usuario Responsable de cada rea de AFOCAT, o las Personas Autorizadas
expresamente por el encargado del rea o el administrador.
La configuracin, instalacin y dems acciones similares en la Estacin de
Trabajo, sern realizadas exclusivamente por Personas expresamente
autorizadas y segn los requerimientos de la funcin que desempea el
usuario.
El usuario a quien se le ha asignado bienes informticos, ser responsable
por estos y deber informar inmediatamente a su Jefe Inmediato quien a su
vez comunicar a la administracin sobre cualquier inconveniente que se
presente, en especial si algn bien ha sido sustrado o reporta fallas de
funcionamiento.
Los daos ocasionados por: uso rudo, mal trato, golpes o cadas,
intervencin sin autorizacin, derrame de lquidos, negligencia o accidentes
no se consideran como fallas propias del equipo sino provocadas. La
reparacin del dao ser efectuado por un Personal Autorizado denominado
por la Administracin, a costo del Usuario responsable de la Estacin de
Trabajo.
Al finalizar su jornada laboral diaria, deber apagar debidamente los
equipos que estuvo utilizando, apagar los supresores de pico y de ser
necesario desconectar de la fuente de alimentacin elctrica.
La Estacin de Trabajo debe ser apagada cuando el usuario sale al refrigerio,
se retiren de la institucin y cuando el computador no ser utilizado en un
tiempo prolongado.

Cuando abandone el rea de trabajo, previamente deber finalizar todos los

procesos de sistemas de informacin y cerrar los documentos abiertos.
Bajo ningn motivo intentar movilizar los bienes informticos sin
autorizacin del Jefe inmediato a donde pertenece el bien.
Bajo ninguna circunstancia intentar por si mismo, la reparacin de
cualquier equipo o componente de este.
Procurar la optimizacin en el uso de insumos y materiales requeridos
para los bienes informticos a su cargo (cintas, cartuchos de tinta,
disquetes, discos compactos, etc.).
5.2.2 De los Procedimientos de Impresin
Slo se podrn efectuar impresiones de informacin que estn relacionados
con los fines y objetivos de AFOCAT, y as como de informacin relacionado
con el trabajo del Usuario, segn sus funciones previstas en la institucin.
Si los cartuchos de tinta se llegasen a terminar por uso en el trabajo se
proceder a efectuar una solicitud a la administracin para solventar dicho
insumo.
Las impresoras compartidas en el grupo de trabajo sern supervisadas por
un encargado perteneciente a AFOCAT para determinar si las impresiones
son de uso institucional.
5.2.3 Uso de la red.
Todo empleado que para el desempeo de sus funciones requiera utilizar la
red de datos institucional, deber poseer una cuenta de usuario.
Todo Usuario que haga uso de una Estacin de Trabajo, debe conectarse a
la red con el usuario de red correspondiente, asignado por la
administracin.
La infraestructura o servicios de la red de datos institucional debe responder
a los objetivos y fines que establezca la institucin.
Toda actividad u operacin de un Usuario que pueda generar algn
problema en la red, ser de responsabilidad exclusiva del Usuario a quien se
le asign la cuenta de la red. Por lo tanto cada Usuario que opere una
Estacin de Trabajo, debe hacerlo con su propio usuario de red.
La clave (password) slo debe ser conocida por el Usuario a quien se le
asign el usuario de red y es considerada nica e intransferible.
Las contraseas se cambiarn peridicamente o al ingresar o salir un
usuario.
La red ser empleada por AFOCAT, para difundir y contener informacin al
interno de la institucin.
Todo Usuario que haga uso de una Estacin de Trabajo, debe conectarse a
la red con fines netamente de trabajo.
No utilizar los recursos de la red de datos institucional, para contenidos
ilegales, as como mensajes que contengan virus que pongan en riesgo los
bienes informticos y datos institucionales.
Si se llegase a presentar un error y/o incidente dentro del grupo de trabajo
se deber informar inmediatamente a la administracin para tomar medidas
inmediatas.
5.2.4 Del Acceso a la Internet
Desde la Estacin de Trabajo asignada ser posible acceder a la Internet,
nica y exclusivamente para fines institucionales y/o relacionados con las
funciones y/o labores del Usuario como por ejemplo la revisin de su
bandeja de entrada para la verificacin de informes u documentos
referenciados a su labor en la institucin.

Est prohibido el acceso a Internet, con la finalidad de navegar en pginas

NO PRODUCTIVAS, tales como por ejemplo: msica, Chat, etc. Pues podran
daar el recurso informtico.
Se prohbe la descarga y/o instalacin de programas, archivos, videos, etc.
Que no estn acorde con los fines de la institucin pues podran daar el
recurso informtico.
5.2.5 Del uso de la cuenta de usuario en el sistema.
Cada usuario es responsable de su identificador y todo lo que de l se
derive, por lo que es imprescindible que este sea nicamente conocido por
el propio usuario, no se deber revelar al resto del personal bajo ningn
concepto.
Es responsabilidad del usuario hacer buen uso de su cuenta, pues los
problemas ocurridos en su estacin de trabajo deben ser justificadas por l.
Debe existir una poltica formal de control de acceso a datos donde se
detalle como mnimo:
a. Implantacin de mecanismos de proteccin contra acceso
no autorizado.
b. Establecimiento de procedimientos de otorgamiento de
claves de usuarios para el ingreso a los sistemas.
c. Los estndares fijados para
autenticacin de usuarios.

la

identificacin

la

Para activar la cuenta de un nuevo usuario al sistema debe existir un

procedimiento formal, por escrito, que regule y exija el ingreso de los
siguientes datos:
a. Identificacin del usuario, deber ser nica e irrepetible
podrn contener caracteres alfanumricos.
b. Password, debe ser personal e ingresado por el usuario,
para la mejor calidad de contrasea se recomienda que
sean caracteres alfanumricos.
c. Nombre y Apellido completo del usuario.
d. Fecha de Expiracin del password.
e. Fecha de Anulacin de la cuenta.
f.

El sistema deber contener un Contador de intentos

fallidos, y deber mostrar un mensaje cuando se haya
cumplido el tercer intento fallido de ingreso al sistema y
automticamente bloquear el acceso al mismo. Se
proceder a informar al administrador de perfiles de
usuario para determinar el error.

g. El Cambio de password deber ser mensual para asegurar

la seguridad de su cuenta.
Deben asignarse los permisos mnimos y necesarios para
que cada usuario desempee su tarea en el rea en el que
se desempea en sus labores.
Para dar de baja a un usuario deber existir un
procedimiento formal por escrito, a travs del cual los

datos del usuario no se eliminarn sino que se actualizar

la fecha de anulacin de su cuenta, quedando estos datos
registrados en el historial de usuarios.
Las PCs deben tener instalado un protector de pantalla
con contrasea, este protector se activar 5 minutos
despus que el usuario deje de usar su PC.
Deber asignar un responsable por cada equipo de
cmputo, l asumir la responsabilidad del mismo.
Deben restringirse las conexiones de los usuarios slo a
las estaciones fsicas autorizadas.
Deber existir un administrador total del sistema (root).
Un segundo administrador (un sper-usuario) debe ser
creado con privilegios similares al anterior este usuario no
tendr permitida la eliminacin del usuario root.
Si se realiza mantenimiento externo, deber crearse una
cuenta de usuario especial para esta tarea, con los
permisos mnimos necesarios para desempear las
funciones.
Autenticacin
Se recomienda lo siguiente:

La pantalla de logeo (inicio de sesin) del

sistema deber mostrar los siguientes datos:
a. ID de usuario.
b. Contrasea.
c. Opcin Cambiar Contrasea.
d. Salir del sistema.

Debern encriptarse:
a. La lista de control de accesos.
b. Los password y datos de las cuentas de usuarios.
c. Los datos de autenticacin de los usuarios
mientras son transmitidos a travs de la red.

Cuando un usuario ingresa su password al sistema,

aparecen asteriscos en lugar de mostrar el dato que est
siendo ingresado. Una vez que algn usuario ha logrado
logearse en el sistema, aparecer la pantalla de trabajo.
Password

Recomendamos que los password debern tener

las siguientes caractersticas:

a. Conjunto de caracteres alfa-numrico, que adems

contengan smbolos para asegurar que el nivel de
seguridad se ms alto.
b. Longitud mnima de 6 y mxima de 10 caracteres.
c. La fecha de expiracin del password deber ser
mensual. El sistema exigir automticamente el
cambio, una vez cumplido el plazo.

El password no deber contener el nombre de la

empresa, el nombre del usuario, ni palabras reservadas.
Los usuarios debern seguir las siguientes directivas en relacin a la gestin
de contraseas:
Seleccionar contraseas de calidad.

Cambiar las contraseas cada vez que el sistema se lo

solicite y evitar reutilizar o reciclar viejas contraseas.

Cambiar las contraseas temporales en el primer

inicio de sesin (login).

Evitar
incluir
contraseas
en
los
procesos
automatizados de inicio de sesin, por ejemplo,
aquellas almacenadas en una tecla de funcin o
macro.

Notificar de acuerdo con lo establecido en la gestin

de incidentes de la seguridad, cualquier incidente de
seguridad relacionado con sus contraseas como
prdida, robo o indicio de prdida de confidencialidad.

La cuenta de usuario es personal e intransferible, no permitindose que

segundas personas hagan uso de ella; es responsabilidad de cada usuario.
Las normas que se definen para la creacin y administracin de passwords
seguros son:
No usar datos que identifiquen al usuario.
No usar frases comunes.
Usar maysculas, minsculas, nmeros y combinarlos.
Cambiar peridicamente el password como mnimo cada mes.
Cuando el usuario deje de usar su estacin de trabajo deber de cerrar
el software o aplicativo, para evitar que otra persona use su cuenta de
usuario.
5.2.6 Del Software
Se debe obtener las licencias de los sistemas operativos y de los softwares
que se usan en la Institucin.
Se deber documentar las actualizaciones de los softwares como el
antivirus, sistema operativo, etc.
Los usuarios en sus computadoras deben tener instalados de manera
exclusiva y nica, el software, aplicativo y/o sistema instalado y/o
autorizado expresamente por la administracin.
El usuario no est autorizado a copiar, bajar de la Internet, instalar y/o
desinstalar ningn tipo de software, ni en su propia Estacin de Trabajo as
como en ninguna otra, como por ejemplo:

Software no licenciado
Chat (MSN Messenger, ICQ, Yahoo Messenger, etc.).
Protectores de pantalla con video o conexin a Internet.
Juegos.
Ares, Kazza, Torrent, y similares.
Se deber instalar software filtro para pginas pornogrficas con el fin de
mejorar la seguridad de la informacin.
Adems deber presentar las siguientes caractersticas en lo relativo a la
seguridad:
a. Identificacin y autenticacin.
b. Control de acceso.
c. Login.
d. Incorruptibilidad.
e. Fiabilidad.
f.

Seguridad en la transmisin.

g. Backups de datos.
h. Encriptacin.
i.

Funciones para preservar la integridad de datos.

j.

Requerimientos sobre privacidad de datos.

5.2.7 De la seguridad y Control de Acceso

La Estacin de Trabajo debe ser apagada cuando el o los titulares salen a
refrigerio, acude(n) a una reunin, se retira(n) de la institucin y cuando el
computador no ser utilizado en un tiempo prolongado. En los casos de
ausencia no prolongada, deber emplear el modo de INVERNACION y/o
SUSPENSIN.
Todo equipo de Cmputo o PC, debe tener instalado y hacer uso de las
claves de Acceso, en las siguientes situaciones: Arranque o inicio de equipo,
Protector de Pantalla, Correo electrnico, Uso de los aplicativos, entre otros
aspectos.
Las claves de acceso o passwords, son de uso personal y secreto, su
composicin en lo posible debe ser con caracteres alfanumricos.
El Usuario, no debe compartir los recursos de la Estacin de Trabajo, tales
como: directorios, carpetas o impresoras. En caso sea necesario compartir
recursos el usuario coordinar con el personal autorizado de la institucin.
El Usuario no debe:
Modificar la Configuracin de la Estacin de Trabajo
Cambiar y/o modificar la direccin IP asignada.
Agregar o eliminar protocolos de comunicaciones de red.
Cambiar o modificar el nombre a su computadora y/o grupo de trabajo
establecidos.
Abrir correos electrnicos de dudosa procedencia, si recibe uno de estos
correos comunicar en forma inmediata a la administracin, mediante el
envo de un correo, por telfono o personalmente.
5.2.8 Del procedimiento para la prevencin de ingresos de
virus.

Revisar que el cliente antivirus se encuentre actualizado, en caso contrario

comunicarse con el encargado para la solucin.
Programar la ejecucin del antivirus todos los das (de lunes a domingos).
Evitar bajar informacin de dudosa procedencia tanto por correo electrnico
y/o Internet.
Escanear con el antivirus a todo disquete, CD, USB u otros dispositivos de
almacenamiento antes de ser utilizado.
Es obligacin del usuario ejecutar todos los parches y/o herramientas
complementarias facilitada por el encargado para la eliminacin o
prevencin del ingreso de virus.
Cada usuario debe escanear su PC de trabajo una vez por mes para
asegurar la informacin.
5.2.9 Del Soporte Tcnico
En caso que el Usuario detecte alguna anomala o problema en su Estacin
de Trabajo, deber informar inmediatamente, segn corresponda a la
administracin quien adoptar las medidas inmediatas.
El Usuario debe requerir formalmente el soporte tcnico al encargado
denominado por la administracin cuando su Estacin de Trabajo tenga
algn desperfecto; el Personal Autorizado se encargar de solucionar el
problema presentado, de ser el caso se solicitar el soporte tcnicos de
expertos ajenos a AFOCAT.
El Usuario es responsable de respaldar sus archivos y documentos en
disquetes o cualquier otro medio magntico peridicamente y en la unidad
de almacenamiento de su equipo; dicha carpeta debe estar comprimida
para ahorrar espacios y lo debe hacer cada fin de mes.

5.3
PARA
LA
ADMINISTRACIN
INFORMATICOS

DE

LOS

RECURSOS

5.3.1 De los recursos Informticos

Los servicios que se proporcionan por AFOCAT son:
Acceso a la Red Interna.
Acceso a Internet
Acceso al sistema de informacin propia de la institucin.
Pginas web.
5.3.2 Del uso de la cuenta de Usuario
Se asignar solamente una cuenta por Usuario.
La cuenta se dar de baja en el momento que el personal deje de
pertenecer a la institucin.
La vigencia y espacio de las cuentas ser definido por la Unidad de
Administracin de acuerdo a los recursos disponibles, con base en las
necesidades del Usuario.
5.3.3 Del Software
En AFOCAT se instalar conforme a la disponibilidad de software y licencia
del mismo, las aplicaciones que requiera el Usuario para su operativa diaria.
De ser el caso, se planificar la capacitacin de los Usuarios respecto a los
aplicativos necesarios para el desarrollo de las funciones y labores de los
mismos.

Est prohibida la instalacin de cualquier otro software sin la debida

autorizacin por parte de la administracin.
5.3.4 De la seguridad fsica
Copias de los medios de almacenamiento de la informacin se ubicarn en
otro(s) local(es) distante(s) de AFOCAT, se designar un responsable para
realizar esta labor.
Los equipos donde se respalda la informacin recibirn mantenimiento
preventivo y correctivo, con una frecuencia de acuerdo a las
especificaciones tcnicas del equipo o a un cronograma establecido por la
administracin.
Los ambientes donde se depositan los medios de almacenamiento de la
informacin contarn con adecuadas condiciones de temperatura,
humedad, entre otras. Estos ambientes dispondrn de medidas de
seguridad complementarias, como por ejemplo, puertas con dispositivos de
acceso, de acuerdo a la disponibilidad presupuestal de AFOCAT.
Los ambientes donde se encuentran los medios de almacenamiento sern
de acceso restringido, slo estar autorizado el ingreso al personal
responsable.
5.3.5 Del respaldo de la informacin digital
Se especificar y documentar, en el Plan de Contingencias de los
Recursos Informticos, los procedimientos utilizados para el respaldo de
la informacin.
El Plan de Contingencias considerar lo siguiente:
Los procedimientos para realizar el respaldo y la restauracin de la
informacin, a nivel de las estaciones cliente se encargar la Unidad de
Administracin, puesto que en esta rea se encuentra el nico servidor con
que cuenta AFOCAT.
Se documentar las funciones y responsabilidades asignadas a las
personas encargadas del proceso de respaldo de la informacin.
5.3.6 Capacitacin y Asesora
La unidad de administracin tiene la responsabilidad de brindar capacitacin
a los usuarios despus de cambios, modificaciones o actualizaciones
realizadas a los sistemas de informacin, planes de contingencia u otros que
estn basadas en la proteccin de la informacin.
Se debe brindar capacitacin constante a los usuarios respecto al uso de los
recursos informticos.
Si el personal tuviera alguna duda sobre el manejo de los recursos
informticos o sistemas de informacin deber dirigirse a la unidad de
administracin para tomar medidas correctivas.
5.3.7 Obtencin y almacenamiento de los Respaldos de
Informacin (BACKUPS).
Se debern establecer los procedimientos para la obtencin
de copias de Seguridad de todos los elementos de software
necesarios para asegurar la correcta ejecucin de los
Sistemas o aplicativos de la Institucin. Para lo cual se
debe contar con:
1) Backups del Sistema Operativo (en caso de tener varios
Sistemas Operativos o versiones, se contar con una copia
de cada uno de ellos).

2) Backups del Software Base (Paquetes y/o Lenguajes de

Programacin con los cuales han sido desarrollados o
interactan nuestros Aplicativos Institucionales).
3) Backups del Software Aplicativo (Considerando tanto los
programas fuentes, como los programas objetos
correspondientes,
y
cualquier
otro
software
o
procedimiento que tambin trabaje con la data, para
producir los resultados con los cuales trabaja el usuario
final). Se debe considerar tambin las copias de los
listados fuentes de los programas definitivos, para casos
de problemas.
4) Backups de los Datos (Bases de Datos, ndices, tablas de
validacin, passwords, y todo archivo necesario para la
correcta ejecucin de los Software Aplicativo de nuestra
Institucin).
5.3.8 Polticas (Normas y Procedimientos de Backups)
Se debe establecer los procedimientos, normas, y
determinacin de responsabilidades en la obtencin de los
Backups, debindose incluir:
1) Periodicidad de cada Tipo de Backup.
2) Uso obligatorio de un formulario estndar para el registro
y control de los Backups.
3) Almacenamiento de los Backups en condiciones
ambientales ptimas, dependiendo del medio magntico
empleado.
4) Reemplazo de los Backups, en forma peridica, antes que
el medio magntico de soporte se pueda deteriorar
(reciclaje o refresco).
5) Almacenamiento de los Backups en locales diferentes
donde reside la informacin primaria (evitando la prdida
si el desastre alcanzara a toda la infraestructura).
6) Pruebas peridicas de los Backups (Restore), verificando
su funcionalidad, a travs de los sistemas, comparando
contra resultados anteriores confiables.
5.3.9 Control de acceso fsico
1) El personal externo no podr permanecer ni ejecutar
trabajos en las reas especialmente protegidas sin
supervisin.
2) Se limitar el acceso al personal de soporte externo a las
reas especialmente protegidas. Este acceso, como el de
cualquier otra persona ajena que requiera acceder a reas
protegidas, se asignar nicamente cuando sea necesario
y se encuentre autorizado, y siempre bajo la vigilancia de
personal autorizado.

3) Se mantendr un registro de todos los accesos de

personas ajenas.
4) Se acompaar a los visitantes en reas protegidas y se
registrar la fecha y hora de su entrada y salida.
5) Dichas personas debern ir provistos de la debida tarjeta
de identificacin o permiso correspondiente y pasar por
alguno de los sistemas de control de acceso fsico. Slo se
permitir el acceso previa identificacin de la persona de
contacto en AFOCAT.
6) Se mantendr un registro protegido para permitir auditar
todos los accesos.

VI. SOBRE LAS SANCIONES APLICABLES

La Administracin en coordinacin determinar la aplicacin o
suspensin de acceso a
los servicios, en atencin al tipo de
contravencin a las presentes polticas de seguridad, a la vez se
deber enviar una comunicacin al usuario involucrado. Asimismo, se
establece que la accin de suspensin no impide que se establezcan
procedimientos administrativos para aplicar sanciones disciplinarias
por el uso indebido de equipos informticos y/o de comunicaciones en
la Institucin.

VII. CONSIDERACIONES
a. La informacin sensible debe ser protegida, sin importar la forma
que est almacenada.
b. El personal que realice un manejo irregular y manipulacin de
informacin ser sometido a sanciones administrativas.
c. La concientizacin
indispensable.

entrenamiento

de

los

empleados

es

d. Los responsables de la administracin de la seguridad de la

informacin y control de riesgos deben mantenerse actualizados
en temas relacionados a seguridad y riesgos de informacin de tal
forma que permitan cumplir con sus funciones de manera ms
eficiente.
e. La existencia de una Poltica de Seguridad de Informacin
formalmente establecida es fundamental.
f.

Sin el apoyo de la parte Administrativa, ningn plan de seguridad

de informacin tendr xito.

g. Todos los colaboradores deben conocer las Polticas de Seguridad

de Informacin.
h. Al incorporarse nuevos colaboradores, la Administracin debe
entregarles las polticas de seguridad de informacin. Asimismo
comunicar sobre las personas que cumplen su contrato o salen de
vacaciones para la desactivacin de sus cuentas de acceso al
sistema.