Documento Final Politicas Iso 27000 2

Integrado por: Fechas de Autorización:
Planeación y Calidad Dirección General: 25-05-2018
Gerencia de Tecnología
POLITICAS – CDT Soluciones Tecnológicas
INDICE
Tabla de contenido
POLÍTICA DE SEGURIDAD CDT Soluciones Tecnológicas ……………………………..4
OBJETIVO ………………………………………………………………………………………………………………………………. 4
ALCANCE …………………………………………………………………………………………………………………………………4
INTRODUCCIÓN …………………………………………………………………………………………………………………….…4
5 POLÍTICAS DE SEGURIDAD …………………………………………………………………………………………………….5
6 POLÍTICAS ORGANIZACIÓN ……………………………………………………………………………………………………5
7 POLÍTICAS DE RECURSOS HUMANOS …………………………………………………………………………………….5
7.1 EXCEPCIONES DE RESPONSABILIDAD …………………………………………………………………………..6
8 POLÍTICAS DE ACTIVOS …………………………………………………………………………………………………………7
8.1 SEGURIDAD LIGADA AL PERSONAL ……………………………………………………………………………….7
8.2 CAPACITACIÓN DE USUARIOS ………………………………………………………………………………………8
8.3 RESPUESTAS A INCIDENTES Y ANOMALÍAS DE SEGURIDAD …………………………………………..8
9 POLÍTICAS DE ACCESO …………………………………………………………………………………………………………..8
9.1 ADMINISTRACIÓN DEL ACCESO DE USUARIOS ……….……………………………………………………..9
9.2 RESPONSABILIDADES DEL USUARIO ………………………………………………………………………………9
9.3 USO DE CORREO ELECTRÓNICO …………………………………………………………………………………..10
9.4 SEGURIDAD EN ACCESO DE TERCEROS ………………………………………………………………………..10
10 POLÍTICAS DE CIFRADO ……………………………………………………………………………………………………..11
10.1 CONTROL DE ACCESO A LA RED UNIDAD DE SISTEMAS Y AFINES A ELLA …………………..11
10.2 CONTROL DE ACCESO AL SISTEMA OPERATIVO ………………………………………………………..11
10.3 CONTROL DE ACCESO A LAS APLICACIONES ……………………………………………………………..11
10.4 MONITOREO DEL ACCESO Y USO DEL SISTEMA ………………………………………………………..12
10.5 PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS …………………………………………………………..12
10.6 PROTECCIÓN CONTRA SOFTWARE MALICIOSO ………………………………………………………..12
10.7 MANTENIMIENTO ……………………………………………………………………………………………………13
10.8 MANEJO Y SEGURIDAD DE MEDIOS DE ALMACENAMIENTO …………………………………….13
Políticas Página 2
11 POLÍTICAS DE FÍSICA AMBIENTAL ………………………………………………………………………………………13

11.1 SEGURIDAD DE LOS EQUIPOS …………………………………………………………………………………..13
11.2 CONTROLES GENERALES …………………………………………………………………………………………..14
12 POLÍTICAS OPERATIVAS …………………………………………………………………………………………………….15
13 POLÍTICAS DE SEGURIDAD EN LAS TELECOMUNICACIONES ……………………………………………….15
14 POLÍTICAS DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE
INFORMACIÓN ………………………………………………………………………………………………………………………16
15 POLÍTICAS DE RELACIONES CON SUMINISTRADORES …………………………………………………………16
16 POLÍTICAS DE GESTIÓN DE INCIDENTES ………………………………………………………………….………….17
17 POLÍTICAS GESTIÓN DE LA CONTINUIDAD DE NEGOCIO …………………………………………………….17
18 POLÍTICAS CUMPLIMIENTO ……………………………………………………………………………………………….18
CÉDULA DE VALIDACIÓN ………………………………………………………………………………………………… …….19
CÉDULA DE APROBACIÓN DE LAS POLÍTICAS DE USO DE RECURSOS Y SEGURIDAD
INFORMATICA ……………………………………………………………………………………………………………………….20
CONTROL DE CAMBIOS ………………………………………………………………………………………………………….21
POLÍTICA DE SEGURIDAD CDT Soluciones Tecnológicas

Este documento describe las políticas bajo las cuales personal de Empresa CDT soluciones
Tecnológicas hará uso del usuario registrado en el dominio.
OBJETIVO
Velar por la seguridad de la información e infraestructura tecnológica de CDT soluciones

Tecnológicas.
ALCANCE
Esta política se aplica a todo personal que cuente con una cuenta de usuario registrada en
el dominio.
INTRODUCCIÓN
En una organización la gestión de seguridad puede tornarse compleja y difícil de realizar,

esto no por razones técnicas, más bien por razones organizativas, coordinar todos los
esfuerzos encaminados para asegurar un entorno informático institucional, mediante la
simple administración de recurso humano y tecnológico, sin un adecuado control que
integre los esfuerzos y conocimiento humano con las técnicas depuradas de mecanismos
automatizados, tomará en la mayoría de los casos un ambiente inimaginablemente
desordenado y confuso, para ello es necesario emplear mecanismos reguladores de las
funciones y actividades desarrolladas por cada uno de los empleados de la corporación.
El documento que se presenta como políticas de seguridad, integra estos esfuerzos de una
manera conjunta. Éste pretende, ser el medio de comunicación en el cual se establecen las
reglas, normas, controles y procedimientos que regulen la forma en que la Corporación,
prevenga, proteja y maneje los riesgos de seguridad en diversas circunstancias.
Las normas y políticas expuestas en este documento sirven de referencia, en ningún

momento pretenden ser normas absolutas, las mismas están sujetas a cambios realizables
en cualquier momento, siempre y cuando se tengan presentes los objetivos de seguridad
de la información y los servicios prestados por la red a los usuarios finales. Toda persona
que utilice los servicios que ofrece la red, deberá conocer y aceptar el reglamento vigente
sobre su uso, el desconocimiento del mismo, no exonera de responsabilidad al usuario,
ante cualquier eventualidad que involucre la seguridad de la información o de la red

institucional.
5 POLÍTICAS DE SEGURIDAD
1) Dotar de la información necesaria en el más amplio nivel de detalle a los usuarios,

empleados y gerentes de la CDT Soluciones Tecnológicas, sobre las normas y
mecanismos que deben cumplir y utilizar para proteger el hardware y software de la
red de CDT Soluciones Tecnológicas, así como la información que es procesada y
almacenada en estos.
2) Verificar permisos: verificar en el servidor de dominio que los permisos activos
correspondan al usuario
6 POLÍTICAS ORGANIZACIÓN
1) Los servicios de la CDT Soluciones Tecnológicas, son de exclusivo uso privado

dentro de personal autorizado, técnicos y para gestiones administrativas, cualquier
cambio en la normativa de uso de los mismos, debe ser expresa y adecuada como
política de seguridad en este documento.
2) Realizar retroalimentación de acciones tomadas: determinar si las acciones para
solucionar un problema de seguridad fueron eficientes y eficaces con el fin de
entender las vulnerabilidades de la infraestructura de CDT Soluciones Tecnológicas.
7 POLÍTICAS DE RECURSOS HUMANOS
1) CDT Soluciones Tecnológicas, delegará al proceso GSS (gestión de soporte en

sistemas) para que de seguimiento al cumplimiento de la normativa y propicie el
entorno necesario para crear un SGSI (Sistema de Gestión de Seguridad de la
Información) , el cual tendrá entre sus funciones:
a) Velar por la seguridad de los activos informáticos
b) Gestión y procesamiento de información.
c) Cumplimiento de políticas.
d) Elaboración de planes de seguridad.
e) Capacitación de usuarios en temas de seguridad.
f) Gestionar y coordinar esfuerzos, por crear un plan de contingencia, que de

sustento o solución, a problemas de seguridad dentro de la Corporación. El
mismo orientar· y guiar a los empleados, la forma o métodos necesarios para
salir avante ante cualquier eventualidad que se presente.
g) Informar sobre problemas de seguridad a la alta gerencia.
h) Poner especial atención a los usuarios de la red institucional sobre

sugerencias o quejas con respecto al funcionamiento de los activos de
información.
2) El Líder de proceso de cada unidad organizativa dentro de la de CDT Soluciones

Tecnológicas, es el único responsable de las actividades procedentes de sus
acciones.
3) El administrador de sistemas es el encargado de mantener en buen estado los
servidores dentro de la red institucional.
4) Todo usuario de la red institucional de CDT Soluciones Tecnológicas gozará de
absoluta privacidad sobre su información, o la información que provenga de sus
acciones, salvo en casos, en que se vea involucrado en actos ilícitos o
contraproducentes para la seguridad de la red institucional, sus servicios o cualquier
otra red ajena a la Corporación.
5) Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los
requisitos mínimos de seguridad para acceder a este servicio y se acaten las
disposiciones de conectividad de la unidad de informática.
7.1 EXCEPCIONES DE RESPONSABILIDAD
1. Los usuarios que por disposición de sus superiores realicen acciones que
perjudiquen a otros usuarios o la información que estos procesan, y si estos no
cuentan con un contrato de confidencialidad y protección de la información de la
CDT Soluciones Tecnológicas, o sus allegados.
2. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir algunas de
las políticas enumeradas en este documento, debido a la responsabilidad de su
cargo, o a situaciones no programadas.
3. Estas excepciones deberán ser solicitadas formalmente y aprobadas por la
subdirección de planeación y supervisadas por la unidad de sistemas, con la
documentación necesaria para el caso, siendo la gerencia quien dé por definitiva su

aprobación final.
8 POLÍTICAS DE ACTIVOS
1) Cada área, tendrá un responsable por el/los activo/s crítico/s o de mayor importancia
para la corporación.
2) La persona responsable de los activos de cada unidad organizativa o área de
trabajo, velará por la salvaguarda de los activos físicos (hardware y medios
magnéticos, aires acondicionados, mobiliario.), activos de información (Bases de
Datos, Archivos, Documentación de sistemas, Procedimientos Operativos,
configuraciones), activos de software (aplicaciones, software de sistemas,
herramientas y programas de desarrollo)
3) Los administradores de los sistemas son los responsables de la seguridad de la
información de forma individual, los departamentos de CDT Soluciones
Tecnológicas, son responsables, de clasificar de acuerdo al nivel de importancia, la
información que en ella se procese.
4) Se tomarán como base, los siguientes criterios, como niveles de importancia, para
clasificar la información:
a) Pública
b) Interna
c) Confidencial
5) Los activos de información de mayor importancia para la CDT Soluciones

Tecnológicas, deberán clasificarse por su nivel de exposición o vulnerabilidad.
8.1 SEGURIDAD LIGADA AL PERSONAL
I. Referente a contratos:
Se entregar· al contratado, toda la documentación necesaria para ejercer sus
labores dentro de CDT Soluciones Tecnológicas, en el momento en que se de por
establecido su contrato laboral.
II. El empleado:
La información procesada, manipulada o almacenada por el empleado es propiedad

exclusiva de CDT Soluciones Tecnológicas.
III. Denunciar amenazas ante la Entidad competente: denunciar cualquier intento o
incidente que perjudique la seguridad informática de CDT Soluciones Tecnológicas.
IV. CDT Soluciones Tecnológicas, no se hace responsable por daños causados
provenientes de sus empleados a la información o activos de procesamiento,
propiedad de CDT Soluciones Tecnológicas, daños efectuados desde sus
instalaciones de red a equipos informáticos externo.
8.2 CAPACITACIÓN DE USUARIOS
I. Los usuarios de la red institucional, serán capacitados en cuestiones de seguridad

de la información, según sea el Área operativa y en función de las actividades que
se desarrollan.
II. Se deben tomar todas las medidas de seguridad necesarias, antes de realizar una
capacitación a personal ajeno o propio de CDT Soluciones Tecnológicas, siempre y
cuando se vea implicada la utilización de los servicios de red o se exponga material
de importancia considerable para CDT Soluciones Tecnológicas.
8.3 RESPUESTAS A INCIDENTES Y ANOMALÍAS DE SEGURIDAD
I. Se realizarán respaldos de la información, diariamente, para los activos de mayor

importancia o críticos, un respaldo semanal que se utilizar· en caso de fallas y un
tercer respaldo efectuado semestralmente, el cual deberá ser guardado y evitar su
utilización a menos que sea estrictamente necesaria.
II. Las solicitudes de asistencia, efectuados por dos o más empleados o ·reas de
proceso, con problemas en las estaciones de trabajo, deber· dárseles solución en
el menor tiempo posible.
III. Cualquier situación anómala y contraria a la seguridad deberá ser documentada,
posterior revisión de los registros o Log de sistemas con el objetivo de verificar la
situación y dar una respuesta congruente y acorde al problema, ya sea está en el
ámbito legal o cualquier situación administrativa.
9 POLÍTICAS DE ACCESO
1) El Coordinador de sistemas proporcionar· toda la documentación necesaria para

agilizar la utilización de los sistemas, referente a formularios, guías, controles, otros,
localizados en el sistema de gestión de la calidad de CDT Soluciones Tecnológicas.
2) Cualquier petición de información, servicio o acción proveniente de un determinado

usuario o líder de proceso, se deberá efectuar siguiendo los canales de gestión
formalmente establecidos por CDT Soluciones Tecnológicas, para realizar dicha
acción; no dar seguimiento a esta política implica:
a) Negar por completo la ejecución de la acción o servicio.
b) Informe completo dirigido a comité de seguridad, mismo será realizado por

la persona o el departamento al cual le es solicitado el servicio.
c) Sanciones aplicables por autoridades de nivel superior, previamente

discutidas con el comité de seguridad.
9.1 ADMINISTRACIÓN DEL ACCESO DE USUARIOS
I. Son usuarios de la red institucional los empleados de planta, administrativos,

secretarias, contratistas, y toda aquella persona, que tenga contacto directo y utilice
los servicios de la red institucional de CDT Soluciones Tecnológicas.
II. Se asignará una cuenta de acceso a los sistemas de la intranet, a todo usuario de
la red institucional, siempre y cuando se identifique previamente el objetivo de su
uso o permisos explícitos a los que este acceder·, junto a la información personal
del usuario.
III. Los usuarios externos, son usuarios limitados, estos tendrán acceso únicamente a
los servicios de Internet y recursos compartidos de la red institucional, cualquier
cambio sobre los servicios a los que estos tengan acceso, será motivo de revisión y
modificación de esta política, adecuándose a las nuevas especificaciones.
IV. No se proporcionará el servicio solicitado por un usuario, o área de trabajo, sin antes
haberse completado todos los procedimientos de autorización necesarios para su
ejecución según el sistema de gestión de la calidad.
V. Se creará una cuenta temporal del usuario, en caso de olvido o extravío de
información de la cuenta personal, para brindarse al usuario que lo necesite,
siempre y cuando se muestre un documento de identidad personal.
VI. La longitud mínima de caracteres permisibles en una contraseña se establece en 6
caracteres, los cuales tendrán una combinación alfanumérica, incluida en estos
caracteres especiales.
VII. La longitud máxima de caracteres permisibles en una contraseña se establece en
12 caracteres, siendo esta una combinación de Mayúsculas y minúsculas.
9.2 RESPONSABILIDADES DEL USUARIO
I. El usuario es responsable exclusivo de mantener a salvo su contraseña.
II. El usuario será responsable del uso que haga de su cuenta de acceso a los sistemas
o servicios, so pena de incurrir en una denuncia penal por mal uso de los servicios
informáticos de la corporación.
III. Se debe evitar el guardar o escribir las contraseñas en cualquier papel o superficie
o dejar constancia de ellas, a menos que ésta se guardada en un lugar seguro.
IV. El usuario es responsable de eliminar cualquier rastro de documentos
proporcionados por el Administrador de la red, que contenga información que pueda
facilitar a un tercero la obtención de la información de su cuenta de usuario.
V. El usuario es responsable de evitar la práctica de establecer contraseñas
relacionadas con alguna característica de su persona o relacionado con su vida o la
de parientes, como fechas de cumpleaños o alguna otra fecha importante.
VI. El usuario deberá proteger su equipo de trabajo, evitando que personas ajenas a su
cargo puedan acceder a la información almacenada en él, mediante una
herramienta de bloqueo temporal (protector de pantalla), protegida por una
contraseña, el cual deber· activarse en el preciso momento en que el usuario deba
ausentarse.
VII. Cualquier usuario que encuentre un hueco o falla de seguridad en los sistemas
informáticos de CDT Soluciones Tecnológicas está obligado a reportarlo a los
administradores del sistema o gestor de seguridad.
9.3 USO DE CORREO ELECTRÓNICO
I. El servicio de correo electrónico, es un servicio gratuito, y no garantizable, se debe

hacer uso de él, acatando todas las disposiciones de seguridad diseñadas para su
utilización y evitar el uso o introducción de software malicioso a la red institucional.
II. El correo electrónico es de uso exclusivo, para los empleados y contratistas de CDT
Soluciones Tecnológicas
III. Todo uso indebido del servicio de correo electrónico, será motivo de suspensión
temporal de su cuenta de correo o según sea necesario la eliminación total de la
cuenta dentro del sistema.
IV. El usuario será responsable de la información que sea enviada con su cuenta.
V. El Administrador de la red corporativa, se reservar· el derecho de monitorear las
cuentas de usuarios, que presenten un comportamiento sospechoso para la
seguridad de la red institucional.
VI. El usuario es responsable de respetar la ley de derechos de autor, no abusando de
este medio para distribuir de forma ilegal licencias de software o reproducir
información sin conocimiento del autor.
9.4 SEGURIDAD EN ACCESO DE TERCEROS
I. El acceso de terceros ser· concedido siempre y cuando se cumplan con los

requisitos de seguridad establecidos en el contrato de trabajo o asociación para el
servicio, el cual deber· estar firmado por las entidades involucradas en el mismo.
II. Todo usuario externo, estar· facultado a utilizar única y exclusivamente el servicio
que le fue asignado, y acatar las responsabilidades que devengan de la utilización
del mismo.
10 POLÍTICAS DE CIFRADO
10.1 CONTROL DE ACCESO A LA RED UNIDAD DE SISTEMAS Y AFINES A ELLA.
I. El acceso a la red interna, se permitirá siempre y cuando se cumpla con los

requisitos de seguridad necesarios, y éste será permitido mediante un mecanismo
de autenticación.
II. Se debe eliminar cualquier acceso a la red sin previa autenticación o validación del
usuario o el equipo implicado en el proceso.
III. Cualquier alteración del tráfico entrante o saliente a través de los dispositivos de
acceso a la red, será motivo de verificación y tendrá como resultado directo la
realización de una auditoria de seguridad.
IV. El departamento de informática deber· emplear dispositivos de red para el bloqueo,
enrutamiento, o el filtrado de tráfico evitando el acceso o flujo de información, no
autorizada hacia la red interna o desde la red interna hacia el exterior.
10.2 CONTROL DE ACCESO AL SISTEMA OPERATIVO
I. Se deshabilitaron las cuentas creadas por ciertas aplicaciones con privilegios de

sistema, (cuentas del servidor de aplicaciones, cuentas de herramientas de
auditoría, etc.) evitando que estas corran sus servicios con privilegios nocivos para
la seguridad del sistema.
II. Al terminar una sesión de trabajo en las estaciones, los operadores o cualquier otro
usuario, evitara dejar encendido el equipo, pudiendo proporcionar un entorno de
utilización de la estación de trabajo de Servidores
III. El acceso a la configuración del sistema operativo de los servidores, es únicamente

permitido al usuario administrador.
IV. Los administradores de servicios, tendrán acceso único a los módulos de
configuración de las respectivas aplicaciones que tienen bajo su responsabilidad.
V. Todo servicio provisto o instalado en los servidores, correrá o será ejecutado bajo
cuentas restrictivas, en ningún momento se obviarán situaciones de servicios
corriendo con cuentas administrativas, estos privilegios tendrán que ser eliminados
o configurados correctamente.
10.3 CONTROL DE ACCESO A LAS APLICACIONES
I. Se deberá definir y estructurar el nivel de permisos sobre las aplicaciones, de

acuerdo al nivel de ejecución o criticidad de las aplicaciones o archivos, y haciendo
especial Énfasis en los derechos de escritura, lectura, modificación, ejecución o
borrado de información.
II. Las salidas de información, de las aplicaciones, en un entorno de red, deberán ser
documentadas, y especificar la terminal por la que deber· ejecutarse exclusivamente
la salida de información.
10.4 MONITOREO DEL ACCESO Y USO DEL SISTEMA
I. Se registrará y archivará toda actividad, procedente del uso de las aplicaciones,

sistemas de información y uso de la red, mediante archivos de Log o bitácoras de
sistemas.
II. Los archivos de Log, almacenarán nombres de usuarios, nivel de privilegios, IP de
terminal, fecha y hora de acceso o utilización, actividad desarrollada, aplicación
implicada en el proceso, intentos de conexión fallidos o acertados, archivos a los
que se tuvo acceso, entre otros.
III. Se efectuar· una copia automática de los archivos de Log, y se conducirá o enviará
hacia otra terminal o servidor, evitando se guarde la copia localmente donde se
produce.
10.5 PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS
I. La unidad de informática, o personal de la misma dedicado o asignado en el área

de programación o planificación y desarrollo de sistemas, efectuar· todo el proceso
propio de la planificación, desarrollo, adquisición, comparación y adaptación del
software necesario para la Corporación.
II. La aceptación del software se hará efectiva por la Gerencia de la Corporación, previo
análisis y pruebas efectuadas por el personal de informática.
III. Únicamente se utilizar· software certificado o en su defecto software previamente

revisado y aprobado, por personal calificado en el ·rea de seguridad.
IV. Es tarea de programadores el realizar pruebas de validación de entradas, en cuanto
a:
1. Valores fuera de rango.

2. Caracteres inválidos, en los campos de datos.
3. Datos incompletos. o Datos con longitud excedente o valor fuera de rango
4. Datos no autorizados o inconsistentes.
5. Procedimientos operativos de validación de errores
6. Procedimientos operativos para validación de caracteres.
7. Procedimientos operativos para validación de la integridad de los datos.
8. Procedimientos operativos para validación e integridad de las salidas.
10.6 PROTECCIÓN CONTRA SOFTWARE MALICIOSO
I. Se adquirir· y utilizar· software ˙nicamente de fuentes confiables.

II. En caso de ser necesaria la adquisición de software de fuentes no confiables, este
se adquirir· en código fuente.
III. Los servidores, al igual que las estaciones de trabajo, tendrán instalado y
configurado correctamente software antivirus actualizable y activada la protección
en tiempo real.
10.7 MANTENIMIENTO
I. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva

responsabilidad del personal de la unidad de informática, o del personal de soporte
técnico.
II. El cambio de archivos de sistema, no es permitido, sin una justificación aceptable y
verificable por el gestor de seguridad.
III. Se llevar· un registro global del mantenimiento efectuado sobre los equipos y
cambios realizados desde su instalación.
10.8 MANEJO Y SEGURIDAD DE MEDIOS DE ALMACENAMIENTO
I. Los medios de almacenamiento o copias de seguridad del sistema de archivos, o

información de CDT Soluciones Tecnológicas, serán etiquetados de acuerdo a la
información que almacenan u objetivo que suponga su uso, detallando o haciendo
alusión a su contenido.
II. Los medios de almacenamiento con información crítica o copias de respaldo
deberán ser manipulados única y exclusivamente por el personal encargado de
hacer los respaldos y el personal encargado de su salvaguarda.
III. Todo medio de almacenamiento con información crítica será guardado bajo llave en
una caja especial a la cual tendrá acceso únicamente, el gestor de seguridad o la
gerencia administrativa, esta caja no debería ser removible, una segunda copia ser·
resguardada por un tercero, entidad financiera o afín.
IV. Se llevará un control, en el que se especifiquen los medios de almacenamiento en
los que se debe guardar información y su uso.
11 POLÍTICAS DE FÍSICA AMBIENTAL
11.1 SEGURIDAD DE LOS EQUIPOS
I. El cableado de red, se instalará físicamente separado de cualquier otro tipo de

cables, llámese a estos de corriente o energía eléctrica, para evitar interferencias.
II. Los servidores, sin importar al dominio o grupo de trabajo al que estos pertenezcan,
con problemas de hardware, deberán ser reparados localmente, de no cumplirse lo
anterior, deberán ser retirados sus medios de almacenamiento.
III. Los equipos o activos críticos de información y proceso, deberán ubicarse en áreas
aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por
el administrador y las personas responsables por esos activos, quienes deberán
poseer su debida identificación.
11.2 CONTROLES GENERALES
I. Las estaciones o terminales de trabajo, con procesamientos críticos no deben de

contar con medios de almacenamientos extraíbles, que puedan facilitar el robo o
manipulación de la información por terceros o personal que no deba tener acceso a
esta información.
II. En ningún momento se deberá dejar información sensible de robo, manipulación o
acceso visual, sin importar el medio en el que esta se encuentre, de forma que
pueda ser alcanzada por terceros o personas que no deban tener acceso a esta
información.
III. Deber· llevarse un control exhaustivo del mantenimiento preventivo y otro para el
mantenimiento correctivo que se les haga a los equipos en ningún momento se
deberá dejar información sensible de robo, manipulación o acceso visual, sin
importar el medio en el que esta se encuentre, de forma que pueda ser alcanzada
por terceros o personas que no deban tener acceso a esta información.
IV. Deber· llevarse un control exhaustivo del mantenimiento preventivo y otro para el
mantenimiento correctivo que se les haga a los equipos.
V. Toda oficina o área de trabajo debe poseer entre sus inventarios, herramientas
auxiliares (extintores, alarmas contra incendios, lámpara de emergencia),
necesarias para salvaguardar los recursos tecnológicos y la información.
VI. Toda visita a las oficinas de tratamiento de datos críticos e información (unidad de
informática, sala de servidores entre otros) deberá ser registrada.
VII. La sala o cuarto de servidores, deber· estar separada de las oficinas administrativas
de la unidad de informática o cualquier otra unidad, departamento o sala de
recepción del personal, mediante una división en la unidad de informática, recubierta
de material aislante o protegido contra el fuego, Esta sala deberá ser utilizada
únicamente por las estaciones prestadoras de servicios y/o dispositivos a fines.
VIII. El suministro de energía eléctrica debe hacerse a través de un circuito exclusivo
para los equipos de cómputo, o en su defecto el circuito que se utilice no debe tener
conectados equipos que demandan grandes cantidades de energía.
IX. El suministro de energía eléctrica debe estar debidamente polarizado, no siendo
conveniente la utilización de polarizaciones locales de tomas de corriente, sino que
debe existir una red de polarización.
X. Las instalaciones de las áreas de trabajo deben contar con una adecuada
instalación eléctrica, y proveer del suministro de energía mediante una estación de
alimentación ininterrumpida o UPS para poder proteger la información.
XI. Las salas o instalaciones físicas de procesamiento de información deberán poseer
información en carteles, sobre accesos, alimentos o cualquier otra actividad
contraria a la seguridad de la misma o de la información que ahí se procesa.
12 POLÍTICAS OPERATIVAS
1) Definir y documentar controles para la detección y prevención del acceso no

autorizado, la protección contra software malicioso y para garantizar la seguridad de
los datos y los servicios conectados a las redes de la organización.
2) Verificar el cumplimiento de las normas, procedimientos y controles establecidos
mediante auditorías técnicas y registros de actividad de los sistemas, para
monitorizar estado de riesgo en los sistemas.
3) Establecer responsabilidades y procedimientos para la gestión y operación de todos
los medios de procesamiento de la información.
4) Evaluar el posible impacto operativo de los cambios previstos a sistemas y

equipamiento y verificar su correcta implementación, asignando responsabilidades
correspondientes y administrando los medios técnicos necesarios para permitir la
segregación de los ambientes y responsabilidades en el procesamiento.
5) Evaluar riegos periódicamente: Obtener la información oportuna sobre las
vulnerabilidades técnicas respecto a la monitorización de sistemas y redes de la
organización
13 POLÍTICAS DE SEGURIDAD EN LAS TELECOMUNICACIONES
1) controlar los accesos a servicios internos y externos conectados en red.

2) El acceso de los usuarios a redes y servicios en red de la empresa no debería
comprometer la seguridad de los servicios en red, por tanto, se debe garantizar que:
a) Existen interfaces adecuadas entre la red de la Organización y las redes

públicas o privadas de otras organizaciones;
b) Los mecanismos de autenticación adecuados se aplican a los usuarios y
equipos;
c) El cumplimiento del control de los accesos de los usuarios a los servicios
de información.
3) Mantener equilibrio entre controles de seguridad perimetrales (LAN/WAN) e internos

(LAN/LAN), frente a controles de seguridad en aplicaciones.
4) Preparar e implantar estándares, y procedimientos de seguridad técnicos para redes
y herramientas de seguridad de red como IDS/IPS (detección y prevención de
intrusiones), gestión de vulnerabilidades, etc.
5) Identificar e incluir en los acuerdos de servicio (SLA) los mecanismos de seguridad,
los niveles de servicio y los requisitos de administración de todos los servicios de
red
14 POLÍTICAS DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS

SISTEMAS DE INFORMACIÓN
1) Definir y documentar normas y procedimientos que se aplicarán durante el ciclo de

vida de los aplicativos y en la infraestructura de base.
2) Asegurar la inclusión de controles de seguridad y validación de datos en la
adquisición y el desarrollo de los sistemas de información.
3) Definir los métodos de protección de la información crítica o sensible.
4) Los requisitos relacionados con la seguridad de la información se deberían incluir
en los requisitos para los nuevos sistemas o en las mejoras a los sistemas de
información ya existentes.
15 POLÍTICAS DE RELACIONES CON SUMINISTRADORES
1) Implementar y mantener el nivel apropiado de seguridad de la información y la

entrega de los servicios contratados en línea con los acuerdos de entrega de
servicios de terceros.
2) Revisión de la implementación de los acuerdos, monitorear su cumplimiento con los
estándares y manejar los cambios para asegurar que los servicios sean entregados
para satisfacer todos los requerimientos acordados con terceras personas.
3) La seguridad de la información de la organización y las instalaciones de
procesamiento de la información no debería ser reducida por la introducción de un
servicio o producto externo.
4) Controlar el acceso de terceros a los dispositivos de tratamiento de información de
la organización.
5) Exigir certificados en ISO/IEC 27001 a los partners más críticos, tales como
outsourcing de TI y proveedores de servicios de seguridad TI.
16 POLÍTICAS DE GESTIÓN DE INCIDENTES
1) Contar con capacidad de gestión de incidentes que permita comenzar por su

detección, llevar a cabo su tratamiento y colaborar en la prevención de futuros
incidentes similares.
2) Garantizar que los eventos de seguridad de la información y las debilidades
asociados a los sistemas de información sean comunicados de forma tal que se
apliquen las acciones correctivas en el tiempo oportuno.
3) Establecer las responsabilidades y procedimientos para manejar los eventos y

debilidades en la seguridad de información de una manera efectiva y una vez que
hayan sido comunicados.
4) Aplicar un proceso de mejora continua en respuesta para monitorear, evaluar y
gestionar en su totalidad los incidentes en la seguridad de información.
5) Evidencias de incidentes, deben ser recogidas para asegurar el cumplimiento de los
requisitos legales.
17 POLÍTICAS GESTIÓN DE LA CONTINUIDAD DE NEGOCIO
1) Establecer, documentar, implementar y mantener procesos, procedimientos y

cambios de implementación para mantener los controles de seguridad de la
información existentes durante una situación adversa.
2) Analizar las consecuencias de los desastres, fallas de seguridad, pérdidas de
servicio y la disponibilidad del servicio.
3) Determinar los requisitos de seguridad de la información al planificar la continuidad
de los procesos de negocio y la recuperación ante desastres.
4) Verificar la validez y la efectividad de las medidas de continuidad de la seguridad de
la información regularmente, especialmente cuando cambian los sistemas de
información, los procesos, los procedimientos y los controles de seguridad de la
información, o los procesos y soluciones establecidas para la gestión de la
continuidad de negocio. Desarrollar e implantar planes de contingencia para
asegurar que los procesos del negocio se pueden restaurar en los plazos requeridos
las operaciones esenciales, manteniendo las consideraciones en seguridad de la
información utilizada en los planes de continuidad y función de los resultados del
análisis de riesgos.
5) Minimizar los efectos de las posibles interrupciones de las actividades normales de
la organización asociadas a desastres naturales, accidentes, fallas en el
equipamiento, acciones deliberadas u otros hechos, protegiendo los procesos
críticos.
6) Instruir al personal involucrado en los procedimientos de reanudación y
recuperación en relación a los objetivos del plan, los mecanismos de coordinación
y comunicación entre equipos.
18 POLÍTICAS CUMPLIMIENTO
1) Los requisitos legales específicos deberían ser advertidos por los asesores legales
de la organización o por profesionales adecuadamente cualificados.
2) Los requisitos normativos y contractuales pertinentes a cada sistema de información
deberían estar debidamente definidos y documentados.
3) Cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones
administrativas a la organización y/o a los empleados.
4) Revisar la seguridad de los sistemas de información periódicamente a efectos de
garantizar la adecuada aplicación de la política, normas y procedimientos de
seguridad, sobre las plataformas tecnológicas y los sistemas de información.
5) Implementar procedimientos adecuados para garantizar el cumplimiento con los
requisitos legislativos, normativos y contractuales relacionados con los derechos de
propiedad intelectual y utilizar productos software original.
6) Los registros se deberían proteger contra pérdidas, destrucción, falsificación,
accesos y publicación no autorizados de acuerdo con los requisitos legislativos,
normativos, contractuales y comerciales.
CÉDULA DE VALIDACIÓN
Las presentes políticas fueron integradas, conforma a la información proporcionada por la Gerencia
de Tecnología, que suscribe esta Cédula y se apoya estrictamente al alcance, especificaciones y
características técnicas, descritas por la Gerencia al 20 de mayo de 2018.
Por lo anterior se otorga la validación de la información de este documento en el ámbito de

responsabilidad que a cada uno corresponde.
Gerente responsable Ing. Dania Alemán
Jefe de departamento de Soporte Técnico
Ing. Blanca Quintanilla
Coordinador de Enlace
Ing. Ángel Escobar
Fecha: 25 mayo de 2018
CÉDULA DE APROBACIÓN DE LAS POLÍTICAS DE USO DE RECURSOS Y SEGURIDAD INFORMATICA.
En cumplimiento de los artículos 17, fracción V, X, y 18, Fracción VIII del actual Estatuto Orgánico de
la Entidad, publicado en el diario oficial de la federación del 15 de octubre de 2002 y de los artículos
59, fracción IX de la ley Federal de Entidades Paraestatales, y 15 de su reglamento, que aprueban,
en lo que su competencia corresponde, la expedición y difusión de las presentes políticas:
____________________________________________
Director general de CDT soluciones tecnológicas.
Ing. Dania Aleman Guzmán
__________________________________ __________________________________
Gerente de Tecnología Gerente General
Ing. Marbin Mejía Ing. Ángel Escobar
__________________________________ __________________________________
Gerente de Tecnología Gerente de Tecnología
Ing. Blanca Quintanilla Ing. Romeo Landaverde
CONTROL DE CAMBIOS
FECHA MOTIVO DEL CAMBIO
REVISÓ APROBÓ
CARGO: CARGO:
FIRMA: FIRMA:

Documento Final Politicas Iso 27000 2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Documento Final Politicas Iso 27000 2

Transféré par

Droits d'auteur :

Formats disponibles

Integrado por: Fechas de Autorización:

Planeación y Calidad Dirección General: 25-05-2018

11 POLÍTICAS DE FÍSICA AMBIENTAL ………………………………………………………………………………………13

POLÍTICA DE SEGURIDAD CDT Soluciones Tecnológicas

Velar por la seguridad de la información e infraestructura tecnológica de CDT soluciones

En una organización la gestión de seguridad puede tornarse compleja y difícil de realizar,

Las normas y políticas expuestas en este documento sirven de referencia, en ningún

ante cualquier eventualidad que involucre la seguridad de la información o de la red

1) Dotar de la información necesaria en el más amplio nivel de detalle a los usuarios,

1) Los servicios de la CDT Soluciones Tecnológicas, son de exclusivo uso privado

7 POLÍTICAS DE RECURSOS HUMANOS

1) CDT Soluciones Tecnológicas, delegará al proceso GSS (gestión de soporte en

a) Velar por la seguridad de los activos informáticos

b) Gestión y procesamiento de información.

d) Elaboración de planes de seguridad.

e) Capacitación de usuarios en temas de seguridad.

f) Gestionar y coordinar esfuerzos, por crear un plan de contingencia, que de

g) Informar sobre problemas de seguridad a la alta gerencia.

h) Poner especial atención a los usuarios de la red institucional sobre

2) El Líder de proceso de cada unidad organizativa dentro de la de CDT Soluciones

7.1 EXCEPCIONES DE RESPONSABILIDAD

documentación necesaria para el caso, siendo la gerencia quien dé por definitiva su

5) Los activos de información de mayor importancia para la CDT Soluciones

8.1 SEGURIDAD LIGADA AL PERSONAL

La información procesada, manipulada o almacenada por el empleado es propiedad

8.2 CAPACITACIÓN DE USUARIOS

I. Los usuarios de la red institucional, serán capacitados en cuestiones de seguridad

8.3 RESPUESTAS A INCIDENTES Y ANOMALÍAS DE SEGURIDAD

I. Se realizarán respaldos de la información, diariamente, para los activos de mayor

1) El Coordinador de sistemas proporcionar· toda la documentación necesaria para

2) Cualquier petición de información, servicio o acción proveniente de un determinado

a) Negar por completo la ejecución de la acción o servicio.

b) Informe completo dirigido a comité de seguridad, mismo será realizado por

c) Sanciones aplicables por autoridades de nivel superior, previamente

9.1 ADMINISTRACIÓN DEL ACCESO DE USUARIOS

I. Son usuarios de la red institucional los empleados de planta, administrativos,

9.2 RESPONSABILIDADES DEL USUARIO

I. El usuario es responsable exclusivo de mantener a salvo su contraseña.

9.3 USO DE CORREO ELECTRÓNICO

I. El servicio de correo electrónico, es un servicio gratuito, y no garantizable, se debe

9.4 SEGURIDAD EN ACCESO DE TERCEROS

I. El acceso de terceros ser· concedido siempre y cuando se cumplan con los

10.1 CONTROL DE ACCESO A LA RED UNIDAD DE SISTEMAS Y AFINES A ELLA.

I. El acceso a la red interna, se permitirá siempre y cuando se cumpla con los

10.2 CONTROL DE ACCESO AL SISTEMA OPERATIVO

I. Se deshabilitaron las cuentas creadas por ciertas aplicaciones con privilegios de

III. El acceso a la configuración del sistema operativo de los servidores, es únicamente

10.3 CONTROL DE ACCESO A LAS APLICACIONES

I. Se deberá definir y estructurar el nivel de permisos sobre las aplicaciones, de

10.4 MONITOREO DEL ACCESO Y USO DEL SISTEMA

I. Se registrará y archivará toda actividad, procedente del uso de las aplicaciones,

10.5 PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS

I. La unidad de informática, o personal de la misma dedicado o asignado en el área

III. Únicamente se utilizar· software certificado o en su defecto software previamente

1. Valores fuera de rango.

10.6 PROTECCIÓN CONTRA SOFTWARE MALICIOSO

I. Se adquirir· y utilizar· software ˙nicamente de fuentes confiables.

I. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva

10.8 MANEJO Y SEGURIDAD DE MEDIOS DE ALMACENAMIENTO

I. Los medios de almacenamiento o copias de seguridad del sistema de archivos, o

11 POLÍTICAS DE FÍSICA AMBIENTAL

11.1 SEGURIDAD DE LOS EQUIPOS

I. El cableado de red, se instalará físicamente separado de cualquier otro tipo de