You are on page 1of 17

MANUAL DE POLITICAS Y ESTANDARES EN SEGURIDAD INFORMATICA

1. DESARROLLO GENERAL
1.1 Aplicacin
1.2 Evaluacin delas Polticas
1.3 Beneficios
2. SEGURIDAD INSTITUCIONAL
2.1 Usuarios Nuevos
2.2 Obligaciones de los Usuarios
2.3 Capacitacin en Seguridad Informtica
2.4 Sanciones
3. SEGURIDAD FISICA Y DEL MEDIO AMBIENTE
3.1 Proteccin de la Informacin y de los Bienes Informticos
3.1.1 Reportar de forma inmediata
3.1.2 Obligacin de proteger
3.1.3 Responsabilidad del Usuario o Funcionario
3.2 Controles de Acceso Fsico
3.2.1 Ingreso a las Instalaciones de CLASA
3.2.2 Equipos Personales y Porttiles
3.3 Seguridad en reas de trabajo
3.4 Proteccin y ubicacin de los equipos
3.5 Mantenimiento de Equipos
3.6 Prdida de Equipo

3.7 Uso de Dispositivos Extrables


4. ADMINISTRACION DE OPERACIONES EN EL CENTRO DE CALL PARA CLARO
Per
4.1 Polticas del Centro de Cmputo
4.2 Uso de Medios de Almacenamiento
4.3 Adquisicin de Software
4.4 Administracin de la Red
4.5 Seguridad en la Red
4.6 Uso del Correo Electrnico Institucional
4.7 Controles contra Virus y/o Software malicioso
4.8 Internet
5. ACCESO LOGICO
5.1 Controles de Acceso Lgico
5.2 Administracin de Privilegios
5.3 Equipo Desatendido
5.4 Administracin y Uso de Contraseas
5.5 Controles para Otorgar, Modificar y Retirar Usuarios
5.6 Controles de Acceso Remoto

La seguridad informtica, es un proceso donde se deben evaluar y administrar


los riesgos apoyados en polticas y estndares que cubran las necesidades de
la empresa CLARO Per en materia de seguridad de informacin en gestin de
data.
El documento que se presenta como normas y polticas de seguridad, integra
estos esfuerzos de una manera conjunta. ste pretende, ser el medio de
comunicacin en el cual se establecen las reglas, normas, controles y
procedimientos que regulen la forma en que la institucin, prevenga, proteja y
maneje los riesgos de seguridad en diversas circunstancias.
Las normas y polticas expuestas en este documento sirven de referencia, en
ningn momento pretenden ser normas absolutas, las mismas estn sujetas a
cambios realizables en cualquier momento, siempre y cuando se tengan
presentes los objetivos de seguridad. Toda persona que utilice los servicios que
ofrece la red, deber conocer y aceptar el reglamento vigente sobre su uso, el
desconocimiento del mismo, no exonera de responsabilidad al usuario, ante
cualquier eventualidad que involucre la seguridad de la informacin o de la red
empresarial.
Para el desarrollo de este manual se busca estructurarlo en base a ciertos
criterios tales como:

1.- Desarrollo General


1.1 Aplicacin
Las polticas y estndares de seguridad informtica tienen por objeto
establecer medidas y patrones tcnicos de administracin y organizacin
de las Tecnologas de Informacin y Comunicaciones TICs de todo el
personal comprometido en el uso de los servicios informticos

proporcionados por la Oficina Nuevas Tecnologas, nombre asignado al


rea de Sistemas de CLASA Per S.A.

1.2 Evaluacin de las Polticas


Las polticas tendrn una revisin peridica se recomienda que sea
semestral para realizar actualizaciones, modificaciones y ajustes
basados en las recomendaciones y sugerencias que han sido notificadas
y aceptadas por ambas partes para la integridad, disponibilidad y
seguridad de su informacin.
1.3 Beneficios
Las polticas y estndares de seguridad informtica establecidas en el
presente documento
son la base fundamental para la proteccin de
los activos informticos y de toda la informacin de las Tecnologas de
Informacin y Comunicaciones (TICs) de ambas empresas.

2.- Seguridad Institucional


Poltica: Toda persona que ingresa como usuario nuevo a CLASA Per S.A
para manejar equipos de cmputo y hacer uso de servicios informticos
debe aceptar las condiciones de confidencialidad, de uso adecuado de
los bienes informticos y de la informacin, as como cumplir y respetar
al pie de la letra las directrices impartidas en el Manual de Polticas y
Estndares de Seguridad Informtica para Usuarios.
2.1 Usuarios Nuevos
Todo el personal nuevo de la Institucin, deber ser notificado a la
Oficina Nuevas Tecnologas, para asignarle los derechos
correspondientes (Equipo de Cmputo, Creacin de Usuario para la Red
(Perfil de usuario en el grupo de trabajo) o en caso de retiro del
teleoperador, anular y cancelar los derechos otorgados como usuario
informtico.

2.2 Obligaciones de los usuarios

Es responsabilidad de los usuarios de bienes y servicios informticos


cumplir las Polticas y Estndares de Seguridad Informtica para
Usuarios del presente Manual.

2.3 Capacitacin en seguridad informtica Todo servidor o funcionario


nuevo en CLASA Per S.A deber contar con la induccin sobre las
Polticas y Estndares de Seguridad Informtica Manual de Usuarios,
donde se den a conocer las obligaciones para los usuarios y las
sanciones en que pueden incurrir en caso de incumplimiento.

2.4 Sanciones: Se consideran violaciones graves el robo, dao,


divulgacin de informacin reservada o confidencial de esta
dependencia, o de que se le declare culpable de un delito informtico.
3.- SEGURIDAD FISICA Y DEL MEDIO AMBIENTE
Poltica: Para el acceso a los sitios y reas restringidas se debe
notificar a la Oficina de
Sistemas para la autorizacin
correspondiente, y as proteger la informacin y los bienes
informticos.
3.1 Proteccin de la informacin y de los bienes informticos
3.1.1 El supervisor o teleoperador debern reportar de forma inmediata
a la Oficina de Sistemas cuando se detecte riesgo alguno real o
potencial sobre equipos de cmputo o de comunicaciones, tales como
cadas de agua, choques elctricos, cadas o golpes o peligro de
incendio.
3.1.2 El supervisor o teleoperador tienen la obligacin de proteger las
unidades de almacenamiento que se encuentren bajo su
responsabilidad, aun cuando no se utilicen y contengan informacin
confidencial o importante.
3.1.3 Es responsabilidad del usuario o funcionario evitar en todo
momento la fuga de informacin de la entidad que se encuentre
almacenada en los equipos de cmputo personal que tenga asignados.

3.2 Controles de acceso fsico


3.2.1 Cualquier persona que tenga acceso a las instalaciones de CLASA
Per S.A deber identificarse al ingresar con su DNI. Luego registrar o
5

marcar su cdigo en una bitcora del sistema para validar su hora de


llegada y su identificacin electrnica. Persona a cargo la Srta. Liz.

3.2.2 Las computadoras personales, las computadoras porttiles,


y cualquier
activo de tecnologa de informacin, podr ser retirado de las
instalaciones del Call del
segundo piso nicamente con la
autorizacin de salida del rea
de Soporte Tcnico, anexando el comunicado de autorizacin del equipo
debidamente
firmado por el Secretario General (Sr Cesar Ramos) o por el Jefe de
Sistemas.
3.3 Seguridad en reas de trabajo
El centro de Data, donde se ubican los servidores y unidades
compartidas de forma fsica de CLASA Per S.A son reas restringidas,
por lo que solo el personal autorizado del rea en cuestin puede
acceder a l.
3.4 Proteccin y ubicacin de los equipos
3.4.1 Los usuarios no deben mover o reubicar los equipos de
cmputo o de
comunicaciones, instalar o desinstalar dispositivos, ni retirar sellos o
precintos de seguridad de los mismos sin la autorizacin de la el
encargado Sr Cesar Ramos.
3.4.2 Queda terminantemente prohibido que el usuario o
funcionario distinto al
personal de la Soporte Tcnico abra o destape los equipos de
cmputo.
3.4.3 El equipo de cmputo asignado, deber ser para uso
exclusivo de las
funciones de los supervisores o teleoperadores de CLASA Per S.A.
3.5 Mantenimiento de equipos
3.5.1 nicamente el personal autorizado por rea de Soporte
Tcnico
podr llevar a cabo los servicios y reparaciones al equipo
informtico.
3.5.2 Los tcnicos debern asegurarse de respaldar en copias de
respaldo o

backups la informacin que consideren relevante cuando el equipo


sea enviado
a reparacin y borrar aquella informacin sensible que se
encuentre en el
equipo, previendo as la prdida involuntaria de informacin,
derivada del
proceso de reparacin.
3.6 Prdida de Equipo
3.6.1 El supervisor o teleoperador que tengan bajo su responsabilidad
o asignados
algn equipo de cmputo, ser responsable de su uso y
custodia; en
consecuencia, responder por dicho bien de acuerdo a la normatividad
vigente
en los casos de robo, extravo o prdida del mismo.
3.7 Uso de dispositivos extrables
3.7.1 El rea de Soporte Tcnico y Sistemas de la empresa CLASA
Per S.A, vela porque todos los usuarios de los sistemas de
Informacin estn registrados en su Base de Datos para la
autorizacin de uso de dispositivos de almacenamiento externo,
como PenDrives o Memorias USB, Discos porttiles, Unidades de Cd
y DVD Externos, para el manejo y traslado de informacin o
realizacin de copias de seguridad o Backups.
3.7.2 El uso de los quemadores externos o grabadores de disco
compacto es
exclusivo para Backups o copias de seguridad de software y para
respaldos de
informacin que por su volumen as lo justifiquen. A cargo de esto
es el Sr Gary
Guanilo, Jefe de Sistemas.

4. ADMINISTRACION DE OPERACIONES EN EL CENTRO DE CALL PARA


CLARO Per
Poltica: Los usuarios y funcionarios debern proteger la
informacin
utilizada en la infraestructura tecnolgica de CLASA Per
S.A.
De igual forma, debern proteger la informacin reservada o
confidencial que
por necesidades institucionales deba ser guardada,
almacenada o transmitida,
ya sea dentro de la red interna institucional a otras
7

dependencias de sedes
alternas o redes externas como internet.

4.1. El rea de Sistemas, establece las polticas y procedimientos


administrativos para regular, controlar y describir el acceso de
visitantes o funcionarios no autorizados a las instalaciones de
cmputo restringidas.
4.1.1 Cuando un funcionario no autorizado o un visitante
requieran la necesidad
de ingresar a la Sala donde se encuentren los Servidores, debe
solicitar mediante comunicado interno debidamente firmada y
autorizado por el Jefe inmediato de su seccin o dependencia
y para un visitante se debe solicitar la visita con anticipacin
la cual debe traer el visto bueno de la Rectora, y donde se
especifique tipo de actividad a realizar, y siempre contar con
la presencia de un supervisor de Sistemas.
4.1.2 El jefe de Sistemas deber llevar un registro escrito de
todas las visitas autorizadas a los Centros de Cmputo
restringidos.
4.2 Uso de medios de almacenamiento
4.2.1 Los usuarios y servidores CLASA Per deben conservar los
registros o la informacin que se encuentra activa y aquella
que ha sido clasificada como reservada o confidencial.
4.2.2 Las actividades que realicen los usuarios y funcionarios en
la infraestructura Tecnologa de Informacin y
Comunicaciones (TICs) de la empresa sern registradas y
podrn ser objeto de auditoria.
4.3 Adquisicin de software.
4.3.1 Los usuarios y funcionarios que requieran la sea
propiedad CLASA Per, solicitar su autorizacin por su Jefe
inmediato, indicando el equipo de software y el perodo de
tiempo que ser usado.
4.3.2 Se considera una falta grave el que los usuarios o
supervisores que instalen
cualquier tipo de programa (software) en sus computadoras,
estaciones de
trabajo, servidores, o cualquier equipo conectado a la red de
CLASA Per, que no est autorizado por Sistemas ni Soporte
Tcnico.
4.3. La empresa CLASA Per S.A, posee un contrato de Alquiler de Uso de
Software con la Compaa Microsoft. Esto nos garantiza en
8

gran medida la legalidad de los programas adquiridos.


Cualquier otro software" requerido, y que no pueda ser
provisto por la compaa Microsoft, ser adquirido a otro
Proveedor debidamente certificado, el cual deber entregar
al momento de la compra, el programa y la licencia del
software con toda la documentacin pertinente y necesaria
que certifique la originalidad y validez del mismo.
4.3.5 El control de manejo para las licencias y el inventario de los Medios,
paquete de CDs sern responsabilidad de Soporte Tcnico
con el Jefe de Sistemas, o su delegado, en caso de ausencia.
4.4 Administracin de la Red
4.4.1 Los usuarios de las reas de CLASA Per no deben establecer redes
de rea local, conexiones remotas a redes internas o externas,
intercambio de informacin con otros equipos de cmputo utilizando el
protocolo de transferencia de archivos (FTP), u otro tipo de protocolo
para la transferencia de informacin empleando la infraestructura de
red de la entidad, sin la autorizacin de la Soporte Tcnico o Sistemas.
4.5 Seguridad para la red
4.5.1 Ser considerado como un ataque a la seguridad informtica y una
falta grave, cualquier actividad no autorizada por el rea de Sistemas,
en la cual los usuarios o funcionarios realicen la exploracin de los
recursos informticos en la red CLASA Per, as como de las
aplicaciones que sobre dicha red operan, con fines de detectar y
explotar una posible vulnerabilidad.

4.6 Uso del Correo electrnico


4.6.1 Los usuarios y funcionarios no deben usar cuentas de correo
electrnico asignadas a otras personas, ni recibir mensajes en cuentas
de
otros. Si fuera necesario leer el correo de alguien ms (mientras esta
persona se encuentre fuera o de vacaciones) el usuario ausente debe
redireccionar el correo a otra cuenta de correo interno, quedando
prohibido hacerlo a una direccin de correo electrnico externa a
CLASA Per, a menos que cuente con la autorizacin del rea de
Sistemas.
4.6.2 Los usuarios y supervisores deben tratar los mensajes de correo
electrnico y archivos adjuntos como informacin de propiedad de
CLASA Per. Los mensajes de correo electrnico deben ser manejados
como una comunicacin privada y directa entre emisor y receptor.
9

4.6.3 Los usuarios podrn enviar informacin reservada y/o


confidencial
va correo electrnico siempre y cuando vayan de manera encriptado
y
destinada exclusivamente a personas autorizadas y en el ejercicio
estricto de sus
funciones y responsabilidades.
4.7 Controles contra virus o software malicioso
4.7.1 Todos los archivos de computadoras que sean proporcionados por
personal externo o interno considerando al menos programas de
software,
bases de datos, documentos y hojas de clculo que tengan que ser
descomprimidos, el usuario debe verificar que estn libres de virus
utilizando el
software antivirus autorizado antes de ejecutarse.
4.7.2 Ningn usuario, supervisor, empleado o personal externo, podr
bajar
o descargar software de sistemas, boletines electrnicos, sistemas de
correo electrnico, de mensajera instantnea y redes de
comunicaciones
externas, sin la debida autorizacin del rea de Sistemas.
4.8 Internet
4.8.1 El acceso a Internet provisto a los usuarios y funcionarios de
CLASA Per es
exclusivamente para las actividades
relacionadas con las necesidades del cargo y funciones desempeadas.
4.8.2 Todos los accesos a Internet tienen que ser realizados a travs de los
canales
de acceso provistos por CLASA Per, en caso de necesitar una
conexin a Internet alterna o especial, sta debe ser notificada y
aprobada por Sistemas.
4.8.3 Los usuarios de Internet de CLASA Per tienen que reportar todos
los incidentes de seguridad informtica al rea de Sistemas
inmediatamente despus de su identificacin, indicando claramente
que se trata de un incidente de seguridad informtica.
5. ACCESO LOGICO
Poltica: Cada usuario y funcionario son responsables de los mecanismos de
control de acceso que les sean proporcionado; esto es, de su I D login
de usuario y contrasea necesarios para acceder a la red interna de
10

informacin y a la infraestructura tecnolgica CLASA Per, por lo q se


deber mantener de forma confidencial. El permiso de acceso a la
informacin que se encuentra en la infraestructura tecnolgica de
CLASA Per debe ser
proporcionado por el dueo de la informacin, con base en el principio
de Derechos de Autor el cual establece que nicamente se debern
otorgar los permisos mnimos necesarios para el desempeo de sus
funciones.

5.1 Controles de acceso lgico


5.1.1 Todos los usuarios de servicios de informacin son responsables
por el de
usuario y contrasea que recibe para el uso y acceso de los recursos.
5.1.2 Todos los usuarios debern autenticarse por los mecanismos de
control de acceso provistos por rea de Sistemas antes de poder
usar la infraestructura tecnolgica de CLASA Per.
5.1.3 Cada usuario que acceda a la infraestructura tecnolgica de
CLASA Per debe contar con un identificador de usuario (ID) nico y
personalizado. Por lo cual no est permitido el uso de un mismo ID
por varios usuarios.

5.2 Administracin de privilegios


5.2.1 Cualquier cambio en los roles y responsabilidades de los usuarios
debern ser notificados a Sistemas (Administrador de la Red), para
el cambio de privilegios.
5.3 Equipo desatendido
5.3.1 Los usuarios debern mantener sus equipos de cmputo con
controles
de acceso como contraseas y protectores de pantalla (screensaver)
previamente instalados y autorizados por Sistemas o Soporte
cuando no se encuentren en su lugar de trabajo.
5.4 Administracin y uso de contraseas

11

5.4.1 La asignacin de contraseas debe ser realizada de forma


individual, por lo que el uso
de contraseas compartidas est
prohibido.
5.4.2 Est prohibido que las contraseas se encuentren de forma
legible en cualquier medio impreso y dejarlos en un lugar donde
personas no autorizadas puedan descubrirlos.
5.4.3 Los usuarios no deben almacenar las contraseas en ningn
programa o
sistema que proporcione esta facilidad
5.5 Controles para Otorgar, Modificar y Retirar Accesos a Usuarios
5.5.2 Todo usuario debe quedar registrado en la Base de Datos
Usuarios y Roles. La creacin de un nuevo usuario y/o solicitud para la
asignacin de otros roles dentro del sistema de CLASA , deber de
venir acompaado del reporte debidamente firmado por el Jefe de
rea y con el visto bueno de la Alta Direccin, de lo contrario no se le
dar trmite a dicha requisicin.
5.5.3 La Oficina Nuevas Tecnologas, en cabeza del Jefe de Sistemas o su
delegado en caso de ausencia, ser la responsable de ejecutar los
movimientos
de altas, bajas o cambios de perfil de los usuarios.

5.6 Control de accesos remotos


5.6.1 La administracin remota de equipos conectados a Internet no est
permitida, salvo que se cuente con el visto bueno y con un
mecanismo de control de acceso seguro autorizado por el dueo de la
informacin y de Sistemas.

12

Funciones especficas Manual de Roles


Para todo el personal integrante de la Oficina de Nuevas Tecnologas:

1. Restriccin de USB, quemadoras de CD/DVD


Jefe de Sistemas

2. Direccin IP fija
Jefe de Sistemas

3. Segmento de red distinto


Jefe de Sistemas

4. Case sellado con precinto de seguridad


Cesar Ramos

13

5. Disco Duro encriptado


Soporte Tcnico

6. Restriccin de permiso para salida de correos gratuitos


Jefe de Sistemas

7. Restriccin para navegar de Internet


Jefe de Sistemas

8. Antivirus debidamente actualizado


Jefe de Sistemas

9. Sistema Operativo como mnimo Windows 8.1


Cesar Mostacero

10.Usuario de PC debidamente identificado con sus propias credenciales de


acuerdo a las normas de la empresa
Sistemas

11.Contraseas deben ser complejas (Maysculas, minsculas, nmeros y


caracteres especiales) forzar el cambio cada 30 das.
Soporte

12.Pc con firewall de Windows activo


Sistemas

13.Pc con generacin de logs de acceso, sistema de aplicacin habilitados


Mauricio y Gary

14

14.Pc dedicada para esta labor y tener instalada solo lo mnimo necesario
para el cumplimento de funciones.
Sistemas

15.Pc con restriccin para el uso y aceptacin de escritorio remoto


Mauricio
16 El usuario del personal encargado del proceso no debe ser administrador
del equipo
Sistemas(Procesos)

17 Restriccin para imprimir desde este equipo


Soporte

18 Password del Administrador local de este equipo debe ser cambiado


peridicamente (mximo 30 das)
Procesos

19 Se recomienda que los asesores antes de ingresar dejen sus celulares en


un lugar distinto o crear un lugar en donde dejen sus celulares antes de
sus labores.
Ximena Vega

20 En medida de lo posible generar polticas de seguridad de Windows para


asegurar el cumplimiento de estas recomendaciones y la restriccin de
funciones tipo copy y paste Sistemas (Procesos)

21 Acceso restringido y controlado con una bitcora del personal de que


ingresa (puede ser electrnica o manual)
Liz

22 Cmaras de seguridad que permiten monitorear las acciones del


personal encargado de trabajar nuestra informacin.
Sistemas

15

23 Tanto la pc de proceso como el marcador predictivo y la BD debe estar


protegida y no se debe permitir el ingreso desde otros equipos.

24 Proceso de carga desde la pc que jalo la informacin mediante SFTP


hasta la carga al marcador predictivo debe de estar debidamente
documentada y debe de existir un protocolo que registre da, hora y
persona responsable de la ejecucin del proceso. Gary

25 Luego del proceso de carga la informacin contenida en la PC debe ser


eliminada. Debe de dejar constancia de eliminacin
Gary

26 Si la carga se realiza a nivel de BD, los permisos deben estar restringidos


por usuario e IP. Gary

27 Deben tener una persona encargada de validar el cumplimiento correcto


del proceso desde la recepcin de la base hasta la depuracin de la
misma en los equipos. Puede ser una persona del mismo Call Center.
Ximena Procesos

28 Deben auditar el proceso continuamente y contar con la evidencia


necesaria.
Ximena

29 Finalizadas las campaas la informacin cargada en el marcador


predictivo y en la BD debe ser destruida y se debe evidenciar lo
indicado, mediante pantallas y actas firmadas.Ximena

30 La informacin enviada no debe ser compartida con los asesores bajo


ninguna razn ni bajo ningn medio. En caso se requiere tener un
reproceso esto debe ser autorizado por el supervisor de CLARO y
dejando evidencia de la razn del reproceso.
Ximena

16

31 El acceso de los asesores a la informacin de nuestros clientes debe ser


solo a travs del marcador predictivo o alguna otra herramienta similar,
no deben de tener la opcin de hacer bsquedas de clientes.

17

You might also like