Políticas Específicas

de Seguridad de la
Información

Sistema de Gestión de Seguridad
de la Información

06/02/17

................................................... 2 4..................7 USO DE SERVICIOS OFIMÁTICOS ............................. 2 3........ 4 4........................... 10 Pag...................... 5 4........................11 EQUIPOS MÓVILES .................................. 4 4.............................................................................................................4 CONTROL DE ACCESOS .............. 8 4.................................................................................... OBJETIVO ........................................................ 7 4......6 USO DE SERVICIOS DE RED ................. 7 4.................................................1 CONFIDENCIALIDAD DE LA INFORMACIÓN ..................................................................9 USO DE CORREO ELECTRÓNICO ....12 RETENCIÓN DE REGISTROS.......................... 1 de 10 . 8 4....5 SELECCIÓN Y USO DE CONTRASEÑAS DE ACCESO ...................... Políticas Específicas de Seguridad de la Información Vers................. ALCANCE ........................................................................................................... DECLARACIÓN DE LAS POLÍTICAS ESPECÍFICAS ..............................13 PROTECCIÓN DE DATOS PERSONALES ................................................................................................................................................ 2 2....................8 SEGURIDAD PARA EL INTERCAMBIO DE INFORMACIÓN.....................3 USO DE RECURSOS INFORMÁTICOS Y TRASLADO DE ACTIVOS ................................................................................................. 7 4..... 4.................................................... 5 4....0 ÍNDICE 1.............................10 PANTALLA Y ESCRITORIO LIMPIO ...................................................... 4 4.................. 6 4............ 6 4...............2 SEGURIDAD FÍSICA Y AMBIENTAL ........................................................................................................ REFERENCIAS NORMATIVAS Y METODOLÓGICAS ........................... 8 4......... 8 5........................................ GENERALIDADES.............................................

Datos personales. Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular. corporativas y comerciales. 2 de 10 . Colaborador. internet o directorios. filosóficas o morales. e información relacionada a la salud o a la vida sexual. tablet. Servicios Ofimáticos. 4. Servicios en Red. Spam. etc. cualquiera fuere la forma o modalidad de su creación. Se refiere a los servicios de las fotocopiadoras. Personas. Confidencialidad. Home Office (VPN). GENERALIDADES Activos de información. celular. Propiedad que determina que la información no esté disponible. Software. independientemente del soporte. 2. integridad y disponibilidad de la información y recursos de la Empresa. afiliación sindical. datos referidos al origen racial y étnico. Persona o empresa externa responsable de suministrar bienes o servicios a la empresa por periodos. Equipos móviles. OBJETIVO Establecer políticas que permitan mantener la confidencialidad. Recursos Informáticos. Portal que brinda acceso remoto al equipo del colaborador para administrar información y/o recursos. digital. automatizado o no. Datos sensibles. Proveedor. ni sea divulgada a personas. Banco de datos personales. magnético. opiniones o convicciones políticas. Red de datos. óptico u otros que se creen. Son aquellos servicios como el acceso a la red interna. religiosas. Aquella persona que presta un servicio determinado dentro de las instalaciones de la empresa a cambio de una remuneración. Hardware. Todo aquello que tenga valor para la empresa como por ejemplo: Información electrónica y física. Pag. Envío o recepción masiva de mensajes de correo no autorizado o no solicitado. ALCANCE Las políticas son aplicables a todos los colaboradores internos y externos. formación. 3. sea este físico. Red mundial de comunicaciones que interconecta redes académicas. ingresos económicos. Son las aplicaciones (software) y equipos informáticos (hardware). entidades o procesos no autorizados. mensajería instantánea. Conjunto organizado de datos personales. impresoras y escáneres para la optimización de la gestión de documentos en oficinas. Políticas Específicas de Seguridad de la Información Vers. Servicios. Dispositivos electrónicos portátiles como laptop. organización y acceso. almacenamiento.0 1. Internet. Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.

3 de 10 . registro. Cualquier operación o procedimiento técnico. conservación. automatizado o no. Pag. supresión. bloqueo. elaboración. Políticas Específicas de Seguridad de la Información Vers. utilización. comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso.0 Titular de datos personales. 4. que permite la recopilación. almacenamiento. modificación. consulta. Tratamiento de datos personales. extracción. correlación o interconexión de los datos personales. Persona natural a quien corresponde los datos personales. organización.

vender. DECLARACIÓN DE LAS POLÍTICAS ESPECÍFICAS El incumplimiento de las políticas contenidas en el presente Manual será sancionado según el Capítulo VIII Faltas y Sanciones del Reglamento Interno de la empresa.2 Los conocimientos.2 Los colaboradores a los que se les haya asignado una laptop deberán mantenerla con el cable de seguridad mientras permanezcan en las oficinas. todo acceso distinto al autorizado será registrado indicando al menos los siguientes campos:  Persona que tuvo acceso a la información  Motivo de acceso  Fecha y hora de acceso  Datos personales consultados Pag.3 Los colaboradores que vengan a trabajar fuera de horario de oficina.6 Todo documento físico con datos personales deberá ser almacenado en armarios. Políticas Específicas de Seguridad de la Información Vers. comercializar.4 Los responsables de los proveedores deberán comunicarse con el agente de seguridad o recepción de turno a fin de que facilite el ingreso en horario de oficina.2. costos. no podrán publicar. clientes. socios estratégicos. 4. archivadores u otros elementos ubicados en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente.1. adquisiciones o conocimientos que se señalan a continuación: base de datos en general.2. disponer para sí o para terceros.5 Es responsabilidad de cada colaborador dejar sus equipos debidamente apagados y/o desconectados antes de retirarse de la oficina a fin de evitar consumo de energía innecesario y. desarrollo de software. 4. aportes y/o adquisiciones desarrollados durante la vinculación laboral del colaborador quedan como patrimonio exclusivo de la empresa. compras. donar o realizar cualquier otra forma de transferencia a favor de terceros.pe). instrumento.7 Deberá existir una lista de personal autorizado a tener acceso frecuente a las áreas donde se almacenan documentos físicos con datos personales. Toda excepción deberá tener un correo de aprobación del Responsable del área y notificado a Seguridad de la Información (segurinfo@oechsle. fin de semana o feriados deberán ser registrados.1 Todos los colaboradores. 4 de 10 .2.0 4. proyectos. proveedores. aportes. evitar incidentes de tipo eléctrico. ceder. indicadores de gestión. 4. colaboradores. negociaciones. ningún documento. 4. En tal sentido.1 CONFIDENCIALIDAD DE LA INFORMACIÓN 4. 4.2 SEGURIDAD FÍSICA Y AMBIENTAL 4.2. Se debe notificar inmediatamente al personal de seguridad si se encuentra a un visitante no acompañado y sin una identificación visible. 4.1.2. 4. usar. sobretodo.1 Los colaboradores se ven obligados a mantener en reserva todo documento o material que es considerado como información confidencialidad de la empresa. 4. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos. estrategias.2.2. 4. 4. información relativa a ventas. proveedores y visitantes deben usar una identificación visible.

La reactivación tendrá el mismo procedimiento de una creación.2 El acceso de proveedores o invitados a la red y servicios de la empresa debe ser solicitado por su responsable interno a Centro de Servicios incluyendo el motivo. los privilegios de acceso a los sistemas. Toda excepción deberá ser notificada a Seguridad de la Información especificando el motivo y aprobación del Responsable del área.  Cuando existe un comportamiento dañino u ofensivo hacia otros. Políticas Específicas de Seguridad de la Información Vers. Toda solicitud de software nuevo debe ser analizado por el área de Sistemas y autorizado por Seguridad de la Información. cuando se presente alguna de las condiciones siguientes:  Si la conducta del usuario interfiere con el funcionamiento normal y apropiado de los sistemas de información de la empresa. o Pag. transferir. divulgar o instalar el software a otra computadora.3 Los colaboradores solo deberán utilizar para fines laborales los recursos informáticos asignados por la empresa.4. salvo que supervisen el uso de su computadora cuando se acepte que el personal de Soporte TI debidamente autorizado acceda física o remotamente al equipo. además de solicitar apoyo al personal correspondiente.5 La empresa se reserva el derecho de revocar.3 Todas las cuentas con tiempo de inactividad mayor a 90 días serán eliminadas.3. se deberá contar con la aprobación del responsable del área origen y destino. periodo de validez y aprobación del Responsable del área.4. 4. el responsable de su área deberá formalizar el pedido ante Centro de Servicios. los cuales serán asignados de acuerdo a su cargo o aprobación.4. 4.4.1 La creación y modificación de accesos a los servicios de red y recursos informáticos deben ser solicitados por personal autorizado a Centro de Servicios incluyendo sus datos.3.5 Para movilizar los activos de la empresa dentro de la misma sede. 4.1 Los colaboradores no deben permitir que otra persona utilice las computadoras que se les ha asignado. incluyendo el que haya sido adquirido por el propio colaborador. 5 de 10 .0 4.3. 4. Toda excepción deberá ser notificada anticipadamente a Seguridad de la Información especificando el motivo. 4. 4.4 Los colaboradores deben asumir que todo el software de la empresa está protegido por derechos de autor y requiere licencia de uso.3 USO DE RECURSOS INFORMÁTICOS Y TRASLADO DE ACTIVOS 4. a cualquier usuario.4.6 El área de Sistemas realizará el mantenimiento de los recursos informáticos utilizados para el tratamiento de los datos personales.2 Los colaboradores no deben ejecutar.3. 4. En caso de ser un traslado fuera de las instalaciones de la empresa deberá ser coordinado con el área de Administración y contar con una guía de remisión aprobada.4 Todas las cuentas de personal cesado serán eliminadas. 4. 4.4 CONTROL DE ACCESOS 4. utilizar e instalar software proveniente de fuentes no confiables o de distribución gratuita. 4.4. por lo cual no está permitido copiar.3. 4.3. los niveles de privilegios y periodo de validez. 4. esto es con el fin de prevenir demandas legales o introducción de virus informáticos.1 En caso de que los colaboradores necesiten un software y/o hardware.

ya que los especialistas deben realizar descartes con el apoyo del colaborador o con sus credenciales de administrador. 4. identificándose previamente. la moral. el uso de Internet y restringir el acceso a páginas que vayan en contra de la ética. por lo tanto queda prohibido el uso de las credenciales de otro colaborador.4 El colaborador deberá utilizar una contraseña para el acceso a los sistemas y recursos informáticos. Políticas Específicas de Seguridad de la Información Vers.3 No está permitido el uso de dispositivos que brinden acceso a internet a menos que hayan sido otorgados por el área de Sistemas.4 La empresa se reserva el derecho de monitorear.5. teléfono u otro relacionado).2 En caso que el colaborador tenga algún inconveniente con sus accesos no deberá revelar sus contraseñas.4.4.6 USO DE SERVICIOS DE RED 4.6. números y símbolos (por ejemplo: ‘$3gurid4d’) y evitar utilizar contraseñas que sean solo palabras o números con algún significado (nombres. 4.5. DNI. 4.5.10 Queda prohibida la recopilación o tratamiento de datos personales obtenido a través del sistema de video vigilancia de la empresa sin la autorización de la Gerencia de Operaciones. 4. fecha de nacimiento. 4.5.6 El desbloqueo deberá ser solicitado únicamente por el propietario de la cuenta o Responsable de su área a Centro de Servicios.5.4. 6 de 10 . 4. 4.4.6.4. 4. 4. 4. 4.7 Queda prohibida la recopilación o tratamiento de datos personales de los clientes de la empresa sin la autorización de la Gerencia de Marketing.0  Cuando la empresa lo considere pertinente. Pag.3 Toda acción hecha con las credenciales (usuario y contraseña) serán solo responsabilidad del propietario de la cuenta.5 SELECCIÓN Y USO DE CONTRASEÑAS DE ACCESO 4.1 Los colaboradores no deben usar los servicios de red para acciones no relacionadas a sus funciones. 4. desde su red privada.6.6.1 Las credenciales de acceso a los recursos informáticos son personales e intransferibles y sólo deberán ser utilizadas en el equipo asignado al colaborador responsable de la cuenta. 4. 4.6 Los colaboradores deben reportar los inconvenientes e incidencias de accesos a los recursos informáticos a Centro de Servicios. 4.5 Se recomienda utilizar contraseñas robustas. las leyes vigentes o las políticas aquí establecidas.9 Queda prohibida la recopilación o tratamiento de datos personales de los proveedores de la empresa sin la autorización de la Gerencia de Administración. 4.8 Queda prohibida la recopilación o tratamiento de datos personales de los colaboradores y postulantes de la empresa sin la autorización de la Gerencia de Gestión y Desarrollo Humano.2 Los requerimientos de Home Office deben contar con la aprobación de la Gerencia respectiva y ser enviados a Centro de Servicios adjuntando el formato respectivo. combinaciones de 8 o más caracteres alfabéticos.5. ciudades.

7. 4. 4. usando algún mecanismo de eliminación para evitar su lectura. cuando su uso haya finalizado. 4. 4.5 Los colaboradores son responsables de la información que existe en sus equipos asignados por la empresa. Pag. No está permitido compartir libremente sus carpetas.7 USO DE SERVICIOS OFIMÁTICOS 4. 4.9 USO DE CORREO ELECTRÓNICO 4. memorias USB) que contengan datos personales. tomando las medidas necesarias con el fin de evitar el acceso no autorizado.7. Políticas Específicas de Seguridad de la Información Vers. 7 de 10 . 4.2 Los colaboradores que necesiten tener habilitados los puertos USB y quemadoras de CDs/DVDs de sus equipos asignados por la empresa deberán tener la aprobación su Gerencia respectiva y solicitarlo a Centro de Servicios con el formato correspondiente. laptops y/o equipos móviles.8.8 SEGURIDAD PARA EL INTERCAMBIO DE INFORMACIÓN 4. pérdida o corrupción durante el traslado hacia su destino.7. Si el usuario tiene dudas de cómo compartir sus recursos se recomienda contactar a Centro de Servicios.6.9. escritura o modificación). 4. entregados por la empresa o personales.1 El acceso a las web filesharing debe ser aprobado por la Gerencia respectiva y solicitado a Centro de Servicios.8. 4. El transporte electrónico de datos se realizará mediante el protocolo SFTP.0 4.6 Las configuraciones de sistemas de la empresa como corporativos en equipos de escritorio.2 Los colaboradores deberán usar una contraseña para recoger los documentos que impriman. 4. solo procederá con la autorización del responsable del área y se hará utilizando los medios de transporte autorizados por el mismo. fotocopiadora. en forma oportuna. fotocopiadoras. discos duros externos. 4.4 La generación de copias o la reproducción de documentación física contenida en un banco de datos personales únicamente podrán ser realizadas con la autorización del responsable del área y en equipos (impresoras.5 Se deberá retirar los documentos originales y las copias del equipo (impresora. dentro o fuera del territorio nacional. scanner u otros equipos de reproducción) de la empresa. siempre deben mantener los niveles de permisos apropiados para las personas o grupos que tendrán acceso (lectura. scanner u otro equipo de reproducción) inmediatamente después de finalizada su copia o reproducción. 4.4 Los colaboradores deberán solicitar. 4. el destruir los documentos con información interna y confidencial impresos que ya no sirven.3 El intercambio de datos personales hacia cualquier destino fuera de las instalaciones físicas de la empresa.7. DVDs. al área de Sistemas la eliminación de los medios informáticos removibles (CDs.1 Los colaboradores son responsables de todas las actividades que se realicen por medio de sus cuentas de correo electrónico.7.3 Es responsabilidad de cada área.7. es su deber solicitar la configuración a Centro de Servicios.8. manipulación y reutilización de información. deben ser realizadas exclusivamente por el área de Sistemas.1 Los colaboradores deben solicitar la configuración de las impresoras a Centro de Servicios.8.

4.1 La Empresa respeta los principios de legalidad. 4.0 4.13. 4. No mantener bajo ninguna circunstancia información confidencial o cosas de valor sobre el escritorio.2 Los colaboradores que necesiten tener acceso a su correo mediante la web deben solicitarlo a Centro de Servicios adjuntando la aprobación de su Gerente y formato respectivo. 4. nivel de protección adecuado. 8 de 10 .1 Los responsables de la información en coordinación con Seguridad de la Información deben definir mecanismos que garanticen la integridad. Políticas Específicas de Seguridad de la Información Vers. proporcionalidad.13. 4.5 Todo contrato con proveedores debe tener una cláusula de protección de datos personales. su reglamento.4 Se deberán suprimir los datos personales cuando hayan dejado de ser necesarios para la finalidad para la cual hubiesen sido recopilados o hubiese vencido el plazo para su tratamiento.6 Los procesos internos de la empresa involucrados en el tratamiento de datos personales deben ser adecuados a los requisitos establecidos en la Ley N°29733 – “Ley de protección de datos personales”. spam. 4.11 EQUIPOS MÓVILES 4.3 No se deben utilizar los datos personales para finalidades distintas a las designadas por el responsable del área.13 PROTECCIÓN DE DATOS PERSONALES 4.13. expreso e inequívoco del titular de los datos personales.9. quienes aplicarán las políticas internas previo ingreso a la red.9.12 RETENCIÓN DE REGISTROS 4. archivos de música.12. disposición de recurso. 4. 4. 4. finalidad.2 El tratamiento de los datos personales se debe realizar solo con previo consentimiento informado.11.1 El colaborador deberá bloquear su computadora cuando se aleje de su sitio de trabajo.3 Los colaboradores no deben utilizar el correo para envío de cadenas. 4. 4. o salvo que la ley lo autorice. Pag.13.1 Los colaboradores que necesiten utilizar algún dispositivo móvil personal conectado a la red interna deberá ser aprobado por Seguridad de la Información y revisado por Soporte TI.9. conforme a las disposiciones previstas en la Ley N°29733 – “Ley de protección de datos personales”. 4.13.10. calidad. de presentarse este caso deberán reportarlo inmediatamente a Seguridad de la Información adjuntando el correo como archivo para la revisión correspondiente. consentimiento.10 PANTALLA Y ESCRITORIO LIMPIO 4.4 Los colaboradores no deben abrir correos de dudosa procedencia. los colaboradores deberán dejar sus gavetas cerradas. videos o archivos ejecutables. disponibilidad y confidencialidad de la información. modificatorias y demás normas conexas.10. 4.13.2 Al momento de retirarse.

8 Los representantes de los bancos de datos personales de la empresa son: N° Banco de datos Representante 1 Clientes Gerente de Marketing 2 Proveedores Gerente de Finanzas 3 Colaboradores Gerente de Gestión y Desarrollo Humano 4 Postulantes Gerente de Gestión y Desarrollo Humano 5 Video vigilancia Gerente de Ventas y Operaciones Pag.7 Los documentos físicos de un cliente y/o colaborador deben mantenerse agrupados de manera que no se tenga acceso a la información de otro. 4. 4. 9 de 10 . Políticas Específicas de Seguridad de la Información Vers.0 4.13.13.

Políticas Específicas de Seguridad de la Información Vers. 4. 10 de 10 . REFERENCIAS NORMATIVAS Y METODOLÓGICAS  Ley N°29733 – “Ley de protección de datos personales”  Reglamento de la Ley N°29733 – “Ley de protección de datos personales”  Directiva de Seguridad de la Ley N°29733 – “Ley de protección de datos personales” Pag.0 5.