SINERGIA COLABORATIVA

Política de Seguridad de la Red

Contenido
POLÍTICA DE SEGURIDAD DE LA RED............................................................................................................... 1
1. INTRODUCCIÓN................................................................................................................................................2
2. PROPÓSITO / ALCANCE DE ESTA POLÍTICA.............................................................................................................2
3. LA POLÍTICA....................................................................................................................................................3
4. EVALUACIÓN DE RIESGOS Y AUDITORÍA.................................................................................................................4
5. SEGURIDAD FÍSICA Y AMBIENTAL........................................................................................................................4
6. CONTROL DE ACCESO A LA RED..........................................................................................................................6
7. ACCESO REMOTO.............................................................................................................................................7
8. RED INALÁMBRICA...........................................................................................................................................7
9. CONTROL DE ACCESO DE TERCEROS A LA RED.......................................................................................................8
10. CONEXIONES DE RED EXTERNOS..........................................................................................................................8
11. CONTRATOS DE MANTENIMIENTO........................................................................................................................9
12. EL INTERCAMBIO DE DATOS DE SOFTWARE............................................................................................................9
13. EL REGISTRO DE FALLOS.....................................................................................................................................9
14. COPIA DE SEGURIDAD Y RESTAURACIÓN DE DATOS................................................................................................10
15. SOFTWARE MALICIOSO....................................................................................................................................10
16. EL SOFTWARE NO AUTORIZADO........................................................................................................................10
17. ELIMINACIÓN SEGURA O REUTILIZACIÓN DE EQUIPO............................................................................................11
18. CONTROL DE CAMBIO DEL SISTEMA..................................................................................................................11
19. MONITOREO DE SEGURIDAD............................................................................................................................12
20. FORMACIÓN Y SENSIBILIZACIÓN........................................................................................................................12
21. PRESENTACIÓN DE DATOS INFRACCIONES DE SEGURIDAD Y DEBILIDADES...................................................................12
22. GESTIÓN DE LA CONFIGURACIÓN DEL SISTEMA....................................................................................................13
23. PLANES DE RECUPERACIÓN DE DESASTRES..........................................................................................................13
24. EQUIPO DESATENDIDO Y CLARO DE LA PANTALLA..................................................................................................13
25. RESPONSABILIDADES.......................................................................................................................................13
26. MÁS INFORMACIÓN.......................................................................................................................................17
27. Desarrollo del acto procesal.....................................................................................................................17

v1.0 (Aprobado: sep 25; comentado: sep 23) 1 de 18

 SINERGIA COLABORATIVA

1. Introducción

1.1. Este documento define la política de seguridad de la red de Sinergia

Productiva. La Política de Seguridad de la red se aplica a todas las funciones
de la empresa e información contenidos en la red, el entorno físico y las
personas relevantes que apoyan y son usuarios de la red.

1.2. Este documento:

1.2.1. Establece la política de la Sinergia Productiva para la protección de la

confidencialidad, integridad y disponibilidad de la red;

1.2.2. Establece las responsabilidades de seguridad para la seguridad de la

red;

1.2.3. Proporciona referencia a la documentación pertinente a esta política.

1.3. La red es una colección de equipos de comunicación tales como servidores,

ordenadores, impresoras y módems, que ha sido conectados entre sí por
cables o dispositivos inalámbricos. La red es creada para compartir datos,
software y periféricos tales como impresoras, módems, máquinas de fax,
conexión a Internet, CD-ROM y unidades de cinta, discos duros y otros
equipos de almacenamiento de datos.

2. Propósito / alcance de esta política

2.1. El propósito de esta política es garantizar la seguridad de la red de los

equipos de Sinergia Productiva. Lo que permitirá a Sinergia Productiva:

2.1.1. Asegurar la disponibilidad

Asegúrese de que la red esté disponible para los usuarios;

2.1.2. Preservar la integridad

Proteger la red de la modificación no autorizada o accidental;

2.1.3. Preservar la confidencialidad

Proteger los activos contra la divulgación no autorizada.

v1.0 (Aprobado: sep 25; comentado: sep 23) 2 de 18

 SINERGIA COLABORATIVA
2.2. El propósito de esta política es garantizar el uso adecuado de la red de
Sinergia Productiva y hacer que los usuarios sean conscientes de lo que
Sinergia Productiva considera como uso aceptable e inaceptable de su red.

2.3. La inobservancia deliberada o negligente de esta política puede ser

investigada y acarrear las acciones disciplinarias que Sinergia Productiva
estime procedente.

2.4. Esta política se aplica a todas las redes administradas por Sinergia
Productiva y que son utilizados para:

2.4.1. El almacenamiento, el intercambio y la transmisión de datos;

2.4.2. Imprimir o escanear datos o imágenes;

2.4.3. Proveer acceso a los sistemas de Internet para gestionar las

soluciones web de Sinergia Productiva, recibir, enviar y almacenar los
datos de productos, afiliados y clientes.

3. La política

La política de seguridad de la red para Sinergia Productiva se describe a

continuación:

La red de información Sinergia Productiva estará disponible cuando sea

necesario y sólo se puede acceder por usuarios autorizados. La red también
debe ser capaz de resistir o recuperarse de las amenazas a su disponibilidad,
integridad y confidencialidad. Para satisfacer este, Sinergia Productiva llevará a
cabo lo siguiente:

3.1. Proteger todo el hardware, el software y los activos de información bajo su

control. Esto se logrará mediante la implementación de un conjunto de
medidas técnicas y no técnicas bien balanceadas.

3.2. Proporcionar una protección eficaz y rentable que es proporcional a los

riesgos para sus activos de red.

3.3. Aplicar la política de seguridad de la red de una manera efectiva consistente,

oportuna y económica.

3.4. A su vez, Sinergia Productiva cumplirá con:

3.4.1. Derechos de autor (Copyright)

3.4.2. Normas y leyes de Patentes y Diseños
3.4.3. Normas y leyes del Mal Uso del Computador
3.4.4. Normas y leyes de Protección de Datos
3.4.5. Normas y leyes de Derechos Humanos

v1.0 (Aprobado: sep 25; comentado: sep 23) 3 de 18

 SINERGIA COLABORATIVA
3.4.6. Normas y leyes para Comunicaciones electrónicas
3.4.7. Normas y leyes para la libertad de Información

3.5. Sinergia Productiva cumplirá con otras leyes y legislación, según proceda.

4. Evaluación de riesgos y auditoría

4.1. Sinergia Productiva es responsable de asegurar que se lleva a cabo una

adecuada evaluación del riesgo en relación a todos los procesos de negocio
cubiertos por esta política. La evaluación de riesgos identificará las
contramedidas apropiadas que sean necesarias para proteger contra
posibles violaciones de la confidencialidad, integridad y disponibilidad.

4.2. Se dispondrá de un conjunto de herramientas para llevar a cabo una

auditoría de autoevaluación basado en indicadores definidos e intentos de
intrusión a Sinergia Productiva.

4.3. El departamento de auditoría Interna o podrá para llevar a cabo una auditoría
de cumplimiento de la presente política si así es requerido.

5. Seguridad Física y Ambiental

v1.0 (Aprobado: sep 25; comentado: sep 23) 4 de 18

 SINERGIA COLABORATIVA
5.1. Equipos informáticos de red central requeridos para los procesos
administrativos y operativos se encuentra en un ambiente controlado y
seguro. Los equipos de red crítico o sensible serán administrados por un
servicio de Hosting donde se garantice un entorno que cuente con altos
estándares de seguridad física, temperatura controlada, la fuente de
alimentación de reserva y sistemas de prevención y contención de incendios
de alta calidad.

5.2. Equipos de la red central se encuentra en áreas seguras, protegido por un

perímetro de seguridad, con barreras de seguridad apropiadas y controles de
entrada.

5.3. Códigos de bloqueo de puertas serán cambiados periódicamente, a raíz de

un compromiso del código o de sospecha de compromiso.

5.4. Equipos de red críticos o sensibles destinados a procesos administrativos y

operativos estarán protegido de fallos de alimentación.

5.5. equipos de red críticos o sensibles serán protegidos destinados a procesos

administrativos y operativos por los sistemas de extinción de incendios.

5.6. Fumar, comer y beber está prohibido en áreas con equipos de red críticos o
sensibles.

5.7. Todos los visitantes a áreas seguras de red deben ser autorizados por un alto
miembro del equipo de asistencia técnica.

5.8. Todos los visitantes a áreas seguras de red deben ser conscientes de los
requisitos de seguridad.

5.9. Todos los visitantes a áreas seguras de red deben ser registrado a la entrada
y salida. El registro contendrá el nombre, la organización, el propósito de la
visita, la fecha y la hora de entrada y salida.

5.10. Sinergia Productiva se asegurará de que todo el personal

correspondiente sea consciente de los procedimientos para los visitantes.

5.11. Entrada para asegurar zonas que albergan los equipos de red críticos o
sensibles estarán restringidos a aquellos cuyo trabajo lo requiere. Sinergia
Productiva mantendrá y revisará periódicamente una lista de los que tienen
acceso no supervisado.

v1.0 (Aprobado: sep 25; comentado: sep 23) 5 de 18

 SINERGIA COLABORATIVA
6. Control de Acceso a la Red

6.1. El acceso a la red será a través de un procedimiento de conexión segura,

diseñada para minimizar la posibilidad de un acceso no autorizado. El acceso
remoto será a través de la autenticación de dos partes seguras.

6.2. Tiene que haber un procedimiento formal y documentado de registro de

usuarios y cancelación de la cuenta para el acceso a la red. Se requerirá
autorización por separado para el acceso remoto a la red.

6.3. El jefe de departamento debe aprobar el acceso del usuario antes de ser
procesada por el Centro de Servicios de TI.

6.4. Derechos de acceso a la red se asignarán según los requisitos de trabajo del
usuario.

6.5. Privilegios de seguridad (es decir, 'súper-usuario' o derechos de

administrador de red) a la red se asignarán según los requisitos de trabajo
del usuario.

6.6. A Los usuarios se les enviarán las de Condiciones de Uso de las aplicaciones
y deberán familiarizarse con ellas.

6.7. El acceso no se concederá hasta que el Centro de Servicios registre un

usuario.

6.8. Todos los usuarios de la red tendrán su propia identificación de usuario y

contraseña individuales.

6.9. Los usuarios son responsables de asegurar que su contraseña se mantenga

en secreto (ver Responsabilidades del usuario 24.3).

6.10. Los derechos de acceso de usuario serán retirados o revisados

inmediatamente, previa notificación de los jefes de departamento, para
aquellos usuarios que han cambiado de cargo o ha dejado de formar parte de
Sinergia Productiva.

v1.0 (Aprobado: sep 25; comentado: sep 23) 6 de 18

 SINERGIA COLABORATIVA
7. Acceso remoto

7.1. El acceso remoto se refiere a cualquier tecnología que permite a los usuarios
de Sinergia Productiva conectarse desde ubicaciones geográficamente
dispersas.

7.2. Sinergia Productiva es responsable de asegurar que una evaluación formal

de riesgos se lleve a cabo para evaluar los riesgos e identificar los controles
necesarios para reducir los riesgos a un nivel aceptable.

7.3. Sinergia Productiva es responsable de proporcionar mecanismos de

autorización claros para todos los usuarios de acceso remoto.

7.4. Los directores de departamento son responsables de la autorización de todas

las solicitudes de acceso remoto y para asegurar que el conocimiento
adecuado de los riesgos se entiende por cada uno de los usuarios
propuestos.

7.5. Todos los usuarios de acceso remoto son responsables de cumplir con esta
política y las normas correspondientes. Ellos deben salvaguardar los equipos
y recursos de información corporativos y notificar Sinergia Productiva
inmediatamente de cualquier incidente de seguridad y / o infracciones.

7.6. Para más información sobre 'Informática móvil y comunicaciones por favor
refiérase a la política de trabajo ágil o al Centro de Servicios de TI.

7.7. Sinergia Productiva es responsable de asegurar que la infraestructura de

acceso remoto se revisa periódicamente, lo que podría incluir, pero no se
limita a pruebas de intrusión independientes de terceros.

8. Red inalámbrica

8.1. Sinergia Productiva ha desplegado una red inalámbrica, que es para el uso
de los empleados y representantes autorizados solamente, para conectar un
fideicomiso propiedad de los equipos informáticos a la red.

8.2. Las normas de seguridad de red inalámbrica son las siguientes:

v1.0 (Aprobado: sep 25; comentado: sep 23) 7 de 18

 SINERGIA COLABORATIVA
8.2.1. Capa de acceso: Los usuarios podrán conectarse a la WLAN a través
de puntos de acceso, que proporcionarán el estándar b / g n 802.11a /
para conexión de los dispositivos cliente.

8.2.2. Service Set Identifier (SSID2): El SSID para el acceso del personal
puede estar oculto y no transmitir lo que reduce la posibilidad de acceso
inadecuado.

8.2.3. El SSID para el acceso 'invitado' sólo a Internet, será transmitido a fin
de que sea de fácil acceso para los visitantes autorizados. El acceso se
dará a través del Centro de Servicios de TI.

8.2.4. Encriptación: Las redes inalámbricas utilizaran AES) Nivel (Advanced

Encryption Standard) de cifrado. Este estándar de cifrado es obligatorio
para permitir que la red 802.11n sea soportado.

8.2.5. Le autenticación: El protocolo de autenticación seleccionado utilizado

es EAP protegido (PEAP). PEAP es un tipo de autenticación 802.1X para
redes inalámbricas.

8.2.6. Las computadoras portátiles usadas por el personal de Sinergia

Productiva se autenticarán mediante el estándar WPA 2 (Wi-Fi Protected
Access).

8.2.7. Los dispositivos no autorizados conectados a la red inalámbrica se

bloquearon sin ninguna advertencia.

8.2.8. El personal no debe tratar de conectar dispositivos inalámbricos de

propiedad privada a la red inalámbrica de Sinergia Productiva.

9. Control de Acceso de Terceros a la Red

9.1. El acceso de terceros a la red se basa en un contrato formal que satisface

todas las condiciones de seguridad necesarias y requeridas por TI.

9.2. El Centro de Servicio de TI es responsable de asegurar que todo acceso de

terceros a la red debe ser registrado.

9.3. El acceso a internet puede ser proporcionado por el personal del TI o

contratistas empleados por Sinergia Productiva a través del Centro de
Servicios de TI. La conexión Wi-Fi a la infraestructura de Sinergia Productiva
puede ser aprobada cuando de los Gerentes Ejecutivos solicita dicho acceso.

v1.0 (Aprobado: sep 25; comentado: sep 23) 8 de 18

 SINERGIA COLABORATIVA
10. Conexiones de red externos

10.1. Sinergia Productiva es responsable de asegurar que todas las

conexiones a las redes y sistemas externos cumplen con las orientaciones
dadas en las diferentes políticas de seguridad.

10.2. Sinergia Productiva es responsable de asegurar que todas las

conexiones a las redes y sistemas externos están documentados y
aprobados por Sinergia Productiva antes de que comiencen a funcionar.

11. Contratos de mantenimiento

11.1. Sinergia Productiva se asegurará de que los contratos de

mantenimiento están vigentes y que todos los equipos de la red se revisan
periódicamente.

12. El intercambio de datos de software

12.1. Los acuerdos formales para el intercambio de datos y software entre

las organizaciones deben ser aprobados por el Sinergia Productiva.

13. El registro de fallos

13.1. El Centro de Servicio TI es responsable de asegurar que un registro de

todos los fallos de la red se realiza, mantiene y es revisado.

v1.0 (Aprobado: sep 25; comentado: sep 23) 9 de 18

 SINERGIA COLABORATIVA
14. Copia de seguridad y restauración de datos

14.1. Sinergia Productiva es responsable de asegurar que las copias de

respaldo de la configuración de los switch de red y los datos almacenados en
la red se toma con regularidad.

14.2. Un registro debe mantenerse de configuración de switch de red y las

copias de seguridad de datos que detalle la fecha de la copia de seguridad y
si la copia de seguridad se ha realizado correctamente.

14.3. Los procedimientos para el proceso de copia de seguridad serán

documentados, producidos y comunicados a todo el personal pertinente.

14.4. Los procedimientos para el almacenamiento de cintas de copias de

respaldo serán documentados, producidos y comunicados a todo el personal
pertinente.

14.5. Todas las cintas de copia de seguridad se almacenan de forma segura

y una copia será almacenada fuera del sitio de operaciones de Sinergia
Productiva.

14.6. Los procedimientos para la eliminación segura de los medios de copias

de respaldo serán documentados, producidos y comunicados a todo el
personal pertinente.

14.7. Los usuarios son responsables de asegurar que sus propios datos son
guardados en el servidor o en un lugar accesible por el software de la copia
de respaldo.

14.8. Los parches y las correcciones sólo serán aplicadas por Sinergia
Productiva siguiendo el procedimiento de control de cambios adecuado.

15. Software malicioso

15.1. Sinergia Productiva debe asegurar que las medidas son adecuadas
para detectar y proteger la red contra virus y otro software malicioso.

16. El software no autorizado

v1.0 (Aprobado: sep 25; comentado: sep 23) 10 de 18

 SINERGIA COLABORATIVA
16.1. El uso de cualquier software no estándar en los equipos de Sinergia
Productiva debe ser aprobado por el Centro de Servicio TI antes de la
instalación. Todo el software utilizado en equipos de Sinergia Productiva debe
tener un acuerdo de licencia válida. Es responsabilidad del propietario o del
usuario responsable del software no estándar asegurar que este es el caso.

17. Eliminación segura o Reutilización de Equipo

17.1. Sinergia Productiva debe asegurarse que los dispositivos donde están
siendo almacenados los datos en el equipo (por ejemplo, en discos duros o
cintas) se destruyen físicamente antes de salir de los sitios de confianza
garantizar la eliminación de la información contenida.

17.2. Sinergia Productiva debe garantizar que, cuando se van a extraer de

las instalaciones equipos informáticos para su reparación, en la medida de lo
posible los medios electrónicos es decir los datos se sobrescribe por
seguridad.

17.3. Para obtener asesoramiento póngase en contacto con el Gerente de IT

Infraestructura.

18. Control de Cambio del Sistema

18.1. Sinergia Productiva es responsable de asegurar que los procesos de

gestión del cambio llevan a cabo de manera adecuada para revisar los
cambios a la red o las aplicaciones; que incluiría pruebas de aceptación y
autorización.

18.2. Sinergia Productiva es responsable de asegurar toda la

documentación relevante a la red o sus aplicaciones está actualizada.

18.3. Sinergia Productiva es responsable de asegurar que el hardware o

software seleccionado cumple con los estándares de seguridad acordados.

18.4. Instalaciones de prueba se utilizarán para todos los nuevos sistemas

de red. El desarrollo e instalación operacional deben ser separados y
probado previamente a su puesta en marcha.

v1.0 (Aprobado: sep 25; comentado: sep 23) 11 de 18

 SINERGIA COLABORATIVA
19. Monitoreo de seguridad

19.1. Sinergia Productiva es responsable de asegurar que la red es

monitoreada y controla para evitar posibles violaciones de seguridad. Todas
las actividades de monitoreo cumplirán con la legislación vigente.

19.2. Sinergia Productiva se reserva el derecho a acceder, modificar o

eliminar todos los datos almacenados o transmitidos a través de su red. Esto
incluye los datos almacenados en las carpetas de red personales, buzones,
etc. Los datos de carácter personal deben ser almacenados en una carpeta
marcada o llamada 'Personal Privada'. Esto no impide el acceso o la
eliminación de una carpeta, si así requerido por la autoridad de un alto
directivo.

19.3. Sinergia Productiva se reserva el derecho de desconectar o bloquear

cualquier dispositivo conectado, ya sea por medios físicos o inalámbricos a la
red.

19.4. Sinergia Productiva se reserva el derecho a bloquear cualquier

dispositivo físico no aprobado conectado a una pieza de equipo de propiedad
Sinergia Productiva.

20. Formación y Sensibilización

20.1. El Gerente de Portafolio y TI Infraestructura trabajarán en conjunto con

los formadores de TI para proporcionar la formación de conciencia de
seguridad para todo el personal para asegurarse de que son conscientes de
sus responsabilidades en materia de seguridad y las acciones que se
necesitan para llevar a cabo con el fin de cumplir con esas
responsabilidades.

20.2. Todos los usuarios de la red deben ser conscientes de los contenidos y
las implicaciones de la política de seguridad de la red.

21. Presentación de datos infracciones de seguridad y debilidades

21.1 Violaciones de datos de seguridad y debilidades, como la pérdida de datos

o el robo de un ordenador portátil, deben presentarse de acuerdo a los
requerimientos del incidente de Sinergia Productiva según procedimiento de
presentación de informes y, cuando sea necesario, investigados por el Gerente
de Portafolio y TI Infraestructura.

v1.0 (Aprobado: sep 25; comentado: sep 23) 12 de 18

 SINERGIA COLABORATIVA
22. Gestión de la Configuración del Sistema

22.1. Sinergia Productiva se asegurará de que hay un proceso de gestión de

la configuración eficaz para la red.

23. Planes de recuperación de desastres

23.1. Sinergia Productiva se asegurará de que se producen los planes de

recuperación de desastres para la red y que éstos se prueban sobre una
base regular.

24. Equipo desatendido y claro de la pantalla

24.1. Los usuarios deben asegurarse de que protegen la red contra el

acceso no autorizado. Ellos deben cerrar la sesión de la red cuando termine
de trabajar.

24.2. Sinergia Productiva opera bajo un sistema de pantalla transparente que

significa que los usuarios deben asegurarse de que cualquier equipo
conectado a la red debe ser protegido si dejan sin vigilancia, aun cuando sea
por un breve periodo de tiempo. Las estaciones de trabajo deben estar
bloqueadas con una contraseña o por un protector de pantalla activo si la
estación de trabajo se deja desatendida sin importar si es un corto período de
tiempo.

25. Responsabilidades

25.1. Responsabilidades del Departamento TI

v1.0 (Aprobado: sep 25; comentado: sep 23) 13 de 18

 SINERGIA COLABORATIVA
25.1.1. Actuar como un punto central de contacto para la seguridad de
red dentro de la organización, tanto para el personal y las organizaciones
externas.

25.1.2. Implementar un marco eficaz para la gestión de la seguridad de

la red.

25.1.3. Ayudar en la formulación de la política de seguridad de la red y

las políticas y procedimientos relacionados.

25.1.4. Asesorar sobre el contenido y la aplicación de los planes de

acción pertinentes.

25.1.5. Producir estándares de organización, procedimientos y

orientaciones en materia de seguridad de red para su aprobación por
Sinergia Productiva. Toda esta documentación se incluirá en el registro
de activos.

25.1.6. Coordinar actividades de seguridad de red en particular las

relacionadas con los sistemas de información compartida o
infraestructuras de TI.

25.1.7. Fungir como enlace con las organizaciones externas sobre

asuntos de seguridad de red, incluyendo la representación de la
organización en los comités de trabajos conjuntos que puedan llegar a
existir.

25.1.8. Crear, mantener, dar en la orientación y supervisar la aplicación

de la política de seguridad de la red.

25.1.9. Representar a la organización en los comités internos y externos

que se relacionan con la seguridad de redes.

25.1.10. Asegúrese de que los riesgos para los sistemas de TI se

reducen a un nivel aceptable mediante la aplicación de contramedidas de
seguridad identificadas tras una evaluación del riesgo.

25.1.11. Asegúrese de que el sistema, la aplicación y / o el desarrollo de

las normas y los procedimientos de seguridad en la red son requeridos
de acuerdo con las necesidades del negocio, la política y la orientación.

25.1.12. Garantizar que el acceso a la red de la organización se limita a

aquellos que claramente tienen la autorización necesaria.

25.1.13. Proporcionar asesoramiento y orientación a los equipos de

desarrollo para asegurar que la política se cumple.

25.1.14. Aprobar las políticas de seguridad del sistema para la

infraestructura y los servicios comunes.

25.1.15. Aprobar sistemas probados y acordar planes de

implementación.

v1.0 (Aprobado: sep 25; comentado: sep 23) 14 de 18

 SINERGIA COLABORATIVA
25.1.16. Asesorar sobre la acreditación de los sistemas de TI,
aplicaciones y redes.

25.1.17. Garantizar que la seguridad de la red se incluye dentro del

programa de formación obligatoria Sinergia Productiva.

25.1.18. Evaluar los incidentes de soporte, en caso de ser necesario.

25.1.19. Proporcionar apoyo en materia de usuario relacionados con

seguridad de la red.

25.1.20. Garantizar la seguridad de la red, (es decir la información,

hardware y software utilizada por el personal y, de ser el caso, por parte
de terceros) es consistente con los requisitos y obligaciones legales y de
gestión.

25.1.21. Asegurarse de que el personal sea consciente de sus

responsabilidades de seguridad.

25.1.22. Asegurarse que el personal ha recibido formación en seguridad

adecuado.

25.1.23. Asegúrese de que el Centro de Servicios de TI debe ser

informado de inmediato cuando se requieren nuevas cuentas.

25.1.24. Asegúrese de que el Centro de Servicios de TI deba ser

informado de inmediato cuando las cuentas existentes han de ser
revisadas o eliminadas, por ejemplo, cuando un miembro del personal
cambia cargo o sale de la organización.

25.2. Responsabilidades del usuario

Todo el personal o agentes que actúan para la organización tienen el deber de:

v1.0 (Aprobado: sep 25; comentado: sep 23) 15 de 18

 SINERGIA COLABORATIVA
25.2.1. Salvaguardar el hardware, el software y la información a su
cuidado.

25.2.2. Prevenir la introducción de software malicioso en los sistemas

de TI de la organización.

25.2.3. Los usuarios son responsables de asegurar que su contraseña

se mantiene en secreto.

25.2.4. Las contraseñas no deben ser compartidos bajo ninguna

circunstancia.

25.2.5. Las contraseñas deben ser cambiadas con regularidad y deben

ser tales que no sean fácilmente adivinadas, por ejemplo, nombres de
familiares o mascotas.

25.2.6. Las contraseñas de red deben:

25.2.6.1. Ser cambiada cada 30 días

25.2.6.2. No contener el nombre de cuenta de red del usuario o partes del

nombre completo del usuario que exceda de dos caracteres
consecutivos

25.2.6.3. Tener al menos 8 caracteres de longitud

25.2.6.4. Contener caracteres de tres de las cuatro categorías siguientes:

25.2.6.4.1. Caracteres en mayúsculas (A a Z)

25.2.6.4.2. Caracteres en minúsculas (A a Z)

25.2.6.4.3. Números de base 10 dígitos (0 a 9)

25.2.6.4.4. Caracteres no alfabéticos (por ejemplo, $, #, %)

25.2.7. Si un usuario sospecha que su contraseña de red ya no es

segura, deben informar de ello al Centro de Servicio de TI y cambiar su
contraseña.

25.2.8. Informar sobre cualquier violación presunta o real en la

seguridad de la red.

25.3. Responsabilidades SIRO (Senior Information Asset Risk Owner)

v1.0 (Aprobado: sep 25; comentado: sep 23) 16 de 18

 SINERGIA COLABORATIVA
El propietario principal de los riesgos de los activos de información es
responsable de:

25.3.1. Hacer arreglos para la seguridad de la información mediante el

establecimiento de una política general para la organización sobre la
seguridad de la red.

25.3.2. Cumplir con los requisitos legales y garantizar que el

cumplimiento operacional se delegue en los propietarios de los activos de
información.

25.3.3. Asegurar que, cuando corresponda, el personal reciba

capacitación en concientización sobre seguridad de la información.

25.3.4. Garantizar que la red se evalúa en función del riesgo y que los
riesgos identificados se mitigan o escalan

26. Más información

26.1. Si desea cualquier información adicional con respecto a esta política

por favor no dude en ponerse en contacto con el Gerente de Portafolio y/o TI
Infraestructura.

26.2. Si usted no tiene preguntas para Sinergia Productiva presume que

entiende y está al tanto de las reglas y directrices de esta política de uso de
la red y se adhieren a ellas.

27. Desarrollo del acto procesal

v1.0 (Aprobado: sep 25; comentado: sep 23) 17 de 18

 SINERGIA COLABORATIVA
27.1. Priorización de trabajo

Este documento ha sido desarrollado para que todos los empleados sean
advertidos sobre los requerimientos de la tecnología de información a ser
considerados dentro de la organización de una manera consistente,
asegurando que los nuevos empleados están practicando de una manera
que asegura las mejores prácticas.

27.2. Consulta y comunicación con los interesados

Esta política y el programa subsiguiente se desarrollaron mediante consulta

con una serie de grupos focales del personal y en conjunto con el
Departamento de TI, así como socios de Sinergia Productiva que comparten
una infraestructura de red de área local común.

27.3. Aprobación de la política

27.3.1. El director principal de esta política es el Gerente de Finanzas,

la responsabilidad para el desarrollo ha sido delegada en el Director
Adjunto de TI.

27.3.2. El Equipo de Dirección es responsable de la aprobación final de

esta política.

v1.0 (Aprobado: sep 25; comentado: sep 23) 18 de 18