Politicas y Procedimientos de Administracion Tecnologica

Manual de políticas y procedimientos de riesgo tecnológico 1
Manual de políticas
y procedimientos de
riesgo tecnológico
Lic. DARLIN NOE MADRID FAJARDO
Estudiantes:
David Rivera Madrid 20092005254

Henry Jonathan Ramos Zuniga 20142030671
Isaac Alexander Brandel Montoya 20152001119
Karla Patricia Caballero Sosa 20152000162
Kary Jahaira Hernández Avila 20082005448
Wendy Larissa Murillo 20082002890
INDICE
Introducción_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ pag.3
Introducción del uso de Internet _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ pag.4
Procedimientos para el uso correcto del Internet _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
pag.4
Uso del antivirus _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ pag.5
Normas y controles ISO 27001 _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ pag.5
Prohibiciones_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ pag.5
Procedimientos_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ pag.5
Política de Contraseñas_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ pag.6
Procedimientos con contraseñas _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
pag.6
En el presente manual desglosaremos los derechos, responsabilidades junto con

las prohibiciones sobre el uso de equipo y herramientas tecnológicas brindadas por
la organización a todos sus colaboradores para el desempeño efectivo de las
funciones de cada uno según su departamento - área o cargo asignado. EL
propósito principal de este manual es de guiar de forma específica y detallada
procedimientos a seguir según situaciones de prevención u riesgo y también para
la optimización
y desarrollo de las tareas en cualesquiera de las áreas en la organización.
Manual de Políticas y Procedimientos empresa XYZ
1. Introducción del uso de Internet
Identificar la necesidad del uso del internet entre el personal o solicitudes realizadas por
los jefes de área y elaborar los respectivos accesos para facilitar su desempeño.
1.1. Procedimientos para el uso correcto del Internet.

● El Departamento de Informática tiene la autoridad para denegar el acceso al
Internet de cualquier empleado que previamente haya violado las políticas y
procedimientos estipulados por la empresa XYZ
● La comunicación e intercambio de información a través del internet debe ser
para fines de la empresa XYZ.
● El único correo electrónico autorizado para uso de los empleados dentro de la
empresa XYZ es el proporcionado por el departamento de Informática.
● No utilizar el internet para publicidad de tipo comercial o personal alguno.
● Está prohibido el uso del internet para cualquier actividad personal con fines
lucrativos, comerciales, de entretenimiento, personales o que sean ajenos a los
fines de la empresa XYZ.
● Está prohibido el acceso a sitios de descarga para cualquier tipo de programa
no autorizado previamente por el departamento de Informática de la empresa
XYZ.
● Está prohibido el acceso a sitios web que distribuyan materiales ofensivos en
perjuicio de terceros.
● Está prohibido la transmisión por medio de Internet de información y material
que sea propiedad de la empresa XYZ. Esto incluye, pero no se limita, material
con derechos de propiedad intelectual de la empresa XYZ, información
confidencial y privada, información financiera, etc.
● Está prohibido el uso del Internet para provocar de manera deliberada el mal
funcionamiento del equipo propiedad de la empresa XYZ.
● Corre por riesgo del usuario cualquier información obtenida por medio del
servicio de Internet.
● El departamento de Informática es el único que puede dar acceso a los equipos
el servicio de internet.
● Se prohíbe el acceso a páginas y direcciones de pornografía, música, radio,
televisión, video, entretenimiento, racismo, pederastia y/o de cualquier otro tipo
que no tengan relación alguna con las funciones de la empresa.
● Solo las personas autorizadas por el departamento de informática pueden hacer

uso del internet.
● Se prohíbe el uso de cuentas personales en las computadoras de la empresa
● Ningún usuario deberá utilizar credenciales de acceso de otros usuarios, aunque
dispongan de la autorización del propietario.
1.2 Uso del Antivirus

Son programas que tienen como finalidad detectar y eliminar virus informáticos.
Con el paso del tiempo y con la aparición de diversos sistemas operativos avanzados en la web,
los antivirus también han tenido que evolucionar, de tal manera que ahora, no solo los busca y
los detecta, sino que también son capaces de bloquearlos, limpiar archivos y prevenir una
infección de los mismos.
1.2.1 Normas y controles ISO 27001

Es la encargada de establecer un sistema de gestión de seguridad de la información. En esta
norma podemos encontrar la protección contra códigos maliciosos, gestión de soportes, copias
de seguridad y la gestión de seguridad de las redes.
1.2.2 Prohibiciones
Dada la naturaleza, la tecnología representa uno de los principales pilares sobre los cuales
descansan los procesos críticos. El Riesgo de Tecnología y Seguridad de la Información, se
referirá a las posibles pérdidas o daños como consecuencia de fallas en el desempeño de los
sistemas de información, hardware, comunicaciones, base de datos, sistemas operativos, etc.
La empresa ejecutará políticas específicas orientadas a la seguridad de la información y el riesgo
de tecnología. El personal de la empresa no debe bajo ninguna circunstancia tratar de eliminar
instrucciones dañinas a los equipos y sistemas conectados a la red de la empresa. Sobre alguna
sospecha de la existencia de una circunstancia maliciosa en los sistemas de la empresa, el
usuario debe proceder inmediatamente a hacer uso de los canales formalmente aprobados por la
compañía para hacer el respecto reporte, ante el encargado de seguridad de la empresa.
1.2.3 Procedimiento:
● Ningún usuario deberá utilizar credenciales de acceso de otros usuarios, aunque
dispongan de la autorización del propietario.
● Definir políticas que cumplan con las licencias de software y que prohíba la
instalación de software malicioso no autorizado por parte de la empresa.
● Capacitar y concientizar al personal para el uso de los sistemas de información y
crear procedimientos para usar el antivirus, dar formación para su uso.
● Instalar y actualizar un sistema de antivirus e instaurar una política para utilizarlo
con los ficheros adjuntos en un correo electrónico o con los que descargamos.
● Disponer de un software espía, que se encargue de rastrear el trabajo que se

realiza.
2. Política de Contraseñas
Procedimientos diseñados para mejorar la seguridad informática además alentar a los usuarios a
emplear contraseñas seguras e usarlas correctamente para mantener la entereza de los datos
de la organización.
Objetivo:
Protección de los datos y los recursos de tecnologías de información de la Empresa XYZ de
riesgos asociados a la perdida de confidencialidad, integridad y disponibilidad de la información.
Responsables:
Unidad Central de Informática:
• Elaboración y actualización de las herramientas.
• Evaluación del cumplimiento de la presente política.
• Realizar controles u auditorias para evaluar rendimiento.
.
A los Colaboradores se les solicita:
a) Cumplir con los procedimientos establecidos en esta política.
b) Es responsabilidad de cada colaborador realizar periódicamente cambios en sus contraseñas.
2.1 Procedimiento con Contraseñas:
 Toda contraseña correspondiente a cuentas de colaboradores es personal e

intransferible, por lo tanto, no debe compartirse bajo ningún motivo.
 Las contraseñas establecidas por cada uno de los colaboradores para los diferentes
sistemas informáticos serán administradas y gestionadas bajo su única responsabilidad.
 La UCI configurará los sistemas informáticos/ herramientas para que el límite de
intentos fallidos al ingresar una contraseña, sea de 3 intentos, luego de lo cual se
inhabilitara la cuenta del colaborador.
 La UCI configurará el sistema operativo, de forma que éste se inhabilite indefinidamente
hasta que, por pedido del usuario se solicite el desbloqueo.
 Para generar contraseñas seguras para las cuentas de los colaboradores, éstas deberán
contener los siguientes parámetros:
• Una longitud mínima de 8 caracteres.
• Contener mezcla de mayúsculas y minúsculas.
• Contener números y caracteres especiales (ej: #“-*_)
 Los sistemas se configurarán de manera que los colaboradores, al cambiar de
contraseña, no puedan utilizar ninguna de las 3 contraseñas anteriores ingresadas.
 Las contraseñas correspondientes a cuentas especiales de administración de

infraestructura serán de uso y responsabilidad de la UCI.
 En caso de que se requiera obtener información del equipo sea computadora de
escritorio o portátil, móvil u otro aparato asignado a un colaborador que este ausente de
forma temporal o definitiva, únicamente podrá ser solicitado por el jefe inmediato del
área correspondiente vía formulario y/o correo electrónico autorizado por el jefe de la
UCI.
 El área de la UCI al brindar asistencia a los colaboradores con dicha petición es
responsable de obtener la información solicitada mediante la cuenta de Administrador
Local del equipo.
 Siempre que un funcionario sospeche que la confidencialidad de su contraseña esta
comprometida, deberá cambiarla inmediatamente de no lograr el cambio también podrá
solicitarlo a la UCI.
 Todos los equipos de la organización deben tener un usuario de administrador local cuya
contraseña será gestionada únicamente por personal de la UCI.
La no aplicación de la presente política podrá conducir a sanciones administrativas

correspondientes, sin perjuicio de las responsabilidades civiles o penales que sean aplicables,
según sea el caso.

Politicas y Procedimientos de Administracion Tecnologica

Cargado por

Copyright:

Formatos disponibles

Politicas y Procedimientos de Administracion Tecnologica

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Politicas y Procedimientos de Administracion Tecnologica

Cargado por

Copyright:

Formatos disponibles

Manual de políticas y procedimientos de riesgo tecnológico 1

David Rivera Madrid 20092005254

En el presente manual desglosaremos los derechos, responsabilidades junto con

Manual de Políticas y Procedimientos empresa XYZ

1. Introducción del uso de Internet

1.1. Procedimientos para el uso correcto del Internet.

● Solo las personas autorizadas por el departamento de informática pueden hacer

1.2 Uso del Antivirus

1.2.1 Normas y controles ISO 27001

● Disponer de un software espía, que se encargue de rastrear el trabajo que se

2.1 Procedimiento con Contraseñas:

 Toda contraseña correspondiente a cuentas de colaboradores es personal e

 Las contraseñas correspondientes a cuentas especiales de administración de

La no aplicación de la presente política podrá conducir a sanciones administrativas

También podría gustarte