Professional Documents
Culture Documents
INFORMACIN
E-BUSINESS
MANUAL DE POLTICAS
Y
ESTNDARES DE
SEGURIDAD INFORMTICA
PARA USUARIOS
Seguridad de Personal.
Seguridad Fsica y Ambiental.
Administracin de Operaciones de Cmputo.
Controles de Acceso Lgico.
Cumplimiento.
Beneficios
2.1.1
Usuarios Nuevos
Todo el personal nuevo, deber ser notificado ante el Gerente de Sistemas para dar los
derechos correspondientes, mediante el formulario de control de id y la constancia de
asignacin de clave y la autorizacin.
Al igual estos mismos derechos sern dados de baja cuando el usuario ya no labore y
esto deber ser notificado para poder realizar los ajustes necesarios.
2.1.2
Medidas disciplinarias
3.1.1
El usuario deber reportar de forma inmediata al Gerente de Sistemas
cuando detecte que existan riesgos reales o potenciales para equipos de cmputo o
comunicaciones, como pueden ser fugas de agua, conatos de incendio u otros.
3.1.2
El usuario tiene la obligacin de proteger las unidades de
almacenamiento que se encuentren bajo su administracin, aun cuando no se utilicen y
contengan informacin reservada o confidencial.
3.1.3
Es responsabilidad del usuario evitar en todo momento la fuga de la
informacin de la organizacin que se encuentre almacenada en los equipos de
cmputo personal que tenga asignados.
3.2
3.2.1
Cualquier persona que tenga acceso a las instalaciones de la
organizacin, deber registrar al momento de su entrada, el equipo de cmputo,
equipo de comunicaciones, medios de almacenamiento y herramientas que no sean
propiedad de la organizacin, en el rea de recepcin, el cual podrn retirar el
mismo da. En caso contrario deber tramitar la autorizacin de salida correspondiente.
3.2.2
Las computadoras personales, las computadoras porttiles, y cualquier
activo de tecnologa de informacin, podr salir de las instalaciones de la organizacin
nicamente con la autorizacin de salida del Gerente de Sistemas anexando el
documento de salida del equipo debidamente por el secretario de la oficina o la
equivalente en las dependencias de la organizacin.
3.2.3
Los usuarios debern asegurar que toda la informacin que desean sea
respaldada se deber guardar en los servidores de la organizacin ya que Zapatos
El Charco no se hace responsable por perdidas de informacin que no se encuentren
dentro del servidor.
3.2.4
En caso de que se produzca perdida de informacin dentro del
servidor podrn recuperar su informacin solicitndolo con un incidente indicando el
nombre del archivo y la ruta del mismo para poder encontrarlo dentro del sistema de
respaldos.
Nota: Los respaldos se hacen automticamente todos los das del ao.
pinchados al colocar otros objetos encima o contra ellos en caso de que no se cumpla
solicitar un reacomodo de cables con el personal de Zapatos El Charco.
3.4.10
Cuando se requiera realizar cambios mltiples del equipo de cmputo
derivado de reubicacin de lugares fsicos de trabajo, stos debern ser notificados con
una semana de anticipacin al Gerente de Sistemas a travs de un plan detallado.
3.4.11
3.4.12
Mantenimiento de equipo
3.5.1
nicamente el personal autorizado por Zapatos El Charco podr llevar a
cabo los servicios y reparaciones al equipo informtico.
3.5.2
Los usuarios debern asegurarse de respaldar en el servidor la
informacin que consideren relevante cuando el equipo sea enviado a reparacin y
borrar aquella informacin sensible que se encuentre en el equipo, previendo as la
prdida involuntaria de informacin, derivada del proceso de reparacin.
3.6
Prdida de Equipo
3.6.1
El usuario que tenga bajo su resguardo algn equipo de cmputo, ser
responsable de su uso y custodia; en consecuencia, responder por dicho bien de
acuerdo a la normatividad vigente en los casos de robo, extravo o prdida del
mismo.
3.6.2 El prstamo de laptops tendr que solicitarse en Zapatos El Charco, con la
autorizacin del Gerente de Sistemas.
3.6.3
El usuario deber dar aviso inmediato a Zapatos El Charco, de la
desaparicin, robo o extravo del equipo de cmputo o accesorios bajo su resguardo.
3.7
3.7.1
El uso de los grabadores de discos compactos es exclusivo para copias
de seguridad de software y para respaldos de informacin que por su volumen as lo
justifiquen.
3.7.2
El usuario que tenga bajo su resguardo este tipo de dispositivos ser
responsable del buen uso que se le d.
3.7.3
Si algn rea por requerimientos muy especficos del tipo de aplicacin o
servicio de informacin tiene la necesidad de contar con uno de ellos, deber ser
justificado.
3.7.4
3.7.5
El equipo de cmputo o cualquier recurso de tecnologa de informacin
que sufra alguna descompostura por maltrato, descuido o negligencia por parte del
usuario quien resguarda el equipo, se levantara un reporte de incumplimiento de
polticas de seguridad y ser entregado al Pastor para que tome las medidas
correspondientes.
Instalacin de software.
4.2.1
Los usuarios que requieran la instalacin de software que no sea
propiedad de la organizacin, debern justificar su uso y solicitar su autorizacin por
el Ministerio de Tecnologa indicando el equipo de cmputo donde se instalar el
software y el perodo de tiempo que permanecer dicha instalacin.
4.2.2
Se considera una falta grave el que los usuarios instalen cualquier tipo
4.3.1
El usuario que sospeche o tenga conocimiento de la ocurrencia de un
incidente de seguridad informtica deber reportarlo Zapatos El Charco lo antes
posible, indicando claramente los datos por los cuales lo considera un incidente de
seguridad informtica.
4.3.2 Cuando exista la sospecha o el conocimiento de que informacin confidencial o
reservada ha sido revelada, modificada, alterada o borrada sin la autorizacin de las
unidades administrativas competentes, el usuario informtico deber notificar al
Gerente de Sistemas.
4.3.3
Cualquier incidente generado durante la utilizacin u operacin de los
activos de tecnologa de informacin de la organizacin debe ser reportado al Zapatos
El Charco.
4.4
Administracin de la configuracin
4.4.1
Los usuarios de las reas de la organizacin no deben establecer redes
de rea local, conexiones remotas a redes internas o externas, intercambio de
informacin con otros equipos de cmputo utilizando el protocolo de transferencia de archivos
(FTP, SSH), u otro tipo de protocolo para la transferencia de informacin empleando la
infraestructura de red de la organizacin, sin la autorizacin del Gerente de Sistemas.
4.6.1
Los usuarios no deben usar cuentas de correo electrnico asignadas a
otras personas, ni recibir mensajes en cuentas de otros. Si fuera necesario leer el correo
de alguien ms (mientras esta persona se encuentre fuera o de vacaciones) el usuario
ausente debe re direccionar el correo a otra cuenta de correo.
4.6.2
Los usuarios deben tratar los mensajes de correo electrnico y
archivos adjuntos como informacin de propiedad de la organizacin. Los mensajes
de correo electrnico deben ser manejados como una comunicacin privada y directa
entre emisor y receptor.
4.6.3
Los usuarios podrn enviar informacin reservada y/o confidencial va
correo electrnico siempre y cuando vayan de manera encriptada y destinada
exclusivamente a personas autorizadas y en el ejercicio estricto de sus funciones y
atribuciones.
4.6.4
Queda prohibido falsear, esconder, suprimir o sustituir la identidad de
un usuario de correo electrnico.
4.6.5
Queda prohibido interceptar, revelar o ayudar a terceros a interceptar
o revelar las comunicaciones electrnicas.
4.7
4.7.1 Para prevenir infecciones por virus informtico, los usuarios de la organizacin
no deben hacer uso de software que no haya sido proporcionado y validado por el
Gerente de Sistemas.
4.7.2
Los usuarios de la organizacin deben verificar que la informacin y los
medios de almacenamiento, estn libres de cualquier tipo de cdigo malicioso, para
lo cual deben ejecutar el software antivirus autorizado por el Gerente de Sistemas.
4.7.3 Todos los archivos de computadora que sean proporcionados por personal
externo o interno considerando al menos programas de software, bases de datos,
documentos y hojas de clculo que tengan que ser descomprimidos, el usuario debe verificar
que estn libres de virus utilizando el software antivirus autorizado antes de ejecutarse.
4.7.4
Ningn usuario, empleado o personal externo, podr bajar o descargar
software de sistemas, boletines electrnicos, sistemas de correo electrnico, de
mensajera instantnea y redes de comunicaciones externas, sin la debida autorizacin
del Gerente de Sistemas.
4.7.5 Cualquier usuario que sospeche de alguna infeccin por virus de computadora,
deber dejar de usar inmediatamente el equipo y llamar al Ministerio de Tecnologa
para la deteccin y erradicacin del virus.
4.7.6 Los usuarios no debern alterar o eliminar, las configuraciones de seguridad
para detectar y/o prevenir la propagacin de virus que sean implantadas por la
organizacin en: Antivirus, Outlook, Office, Navegadores u otros programas.
4.7.7Debido a que algunos virus son extremadamente complejos, ningn usuario de
la organizacin debe intentar erradicarlos, si el antivirus no puede hacerlo debe de
comunicarse con el Gerente de Sistemas.
4.8
Internet
Administracin de privilegios
5.4.1
La asignacin de contraseas debe ser realizada de forma individual,
por lo que el uso de contraseas compartidas est prohibido.
5.4.2Cuando un usuario olvide, bloquee o extrave su contrasea, deber acudir al
Gerente de Sistemas para que se le proporcione una nueva contrasea.
5.4.3
Est prohibido que las contraseas se encuentren de forma legible en
cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas
puedan descubrirlos.
5.4.4
Sin importar las circunstancias, las contraseas nunca se deben compartir
o revelar. Hacer esto responsabiliza al usuario que prest su contrasea de todas las
acciones que se realicen con el mismo.
54.5 Todo usuario que tenga la sospecha de que su contrasea es conocido por otra
persona, deber cambiarlo inmediatamente.
5.4.6 Los usuarios no deben almacenar las contraseas en ningn programa o sistema
que proporcione esta facilidad.
6.1.1
Los sistemas desarrollados por personal interno o externo que controle el
Gerente de Sistemas son propiedad intelectual de la organizacin.
6.2
6.2.2
El Gerente de Sistemas podr implantar mecanismos de control que
permitan identificar tendencias en el uso de recursos informticos del personal
interno o externo, para revisar la actividad de procesos que ejecuta y la estructura de
los archivos que se procesan. El mal uso de los recursos informticos que sea
detectado ser reportado conforme a lo indicado en estas polticas.
6.2.3
Los lideres y responsables de los procesos establecidos en la
organizacin deben apoyar las revisiones del cumplimiento de los sistemas con las
polticas y estndares de seguridad informtica apropiadas y cualquier otro
requerimiento de seguridad.
6.3
6.3.1
Est prohibido el uso de herramientas de hardware o software para
violar los controles de seguridad informtica. A menos que se autorice por el Gerente
de Sistemas.
6.3.2
Ningn usuario de la organizacin debe probar o intentar probar fallas
de la Seguridad Informtica o conocidas, a menos que estas pruebas sean controladas
y aprobadas por el Gerente de Sistemas.
6.3.3 No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar,
propagar, ejecutar o intentar introducir cualquier tipo de cdigo (programa)
conocidos como virus, gusanos o caballos de troya, diseado para auto replicarse,
daar o afectar el desempeo o acceso a las computadoras, redes o informacin
de la organizacin.
Mantenimiento Preventivo