Política de uso aceptable

Estado de la última actualización: Actualizado en octubre de 2022

Descargo de responsabilidad de uso libre: Esta política ha sido creada por o para el SANS Institute para la comunidad de Internet.
Toda o parte de esta política puede utilizarse libremente para su organización. No se requiere aprobación previa. Si desea
contribuir con una nueva política o una versión actualizada de esta política, envíe un correo electrónico a policy-
resources@sans.org

1 Visión general.

La intención de Infosec Team al publicar una Política de uso aceptable no es imponer

restricciones que sean contrarias a la cultura establecida de la empresa QUETZA de
apertura, confianza e integridad. La empresa QUETZA se compromete a proteger a los
empleados de la empresa QUETZA, a los socios y a la empresa de acciones ilegales o
perjudiciales por parte de individuos, ya sea a sabiendas o sin saberlo.

Los sistemas relacionados con Internet/Intranet/Extranet, incluyendo, pero no

limitándose a equipos informáticos, dispositivos móviles, software, sistemas operativos,
medios de almacenamiento, cuentas de red que proporcionen correo electrónico,
navegación WWW y FTP, son propiedad de la empresa QUETZA. Estos sistemas se
utilizarán con fines comerciales al servicio de los intereses de la empresa y de nuestros
clientes durante las operaciones normales. Por favor, revise las políticas de Recursos
Humanos para más detalles.

La seguridad efectiva es un esfuerzo de equipo que implica la participación y el apoyo

de cada empleado y afiliado de la empresa QUETZA que trata con información y/o
sistemas de información. Es responsabilidad de todos los usuarios informáticos
conocer estas directrices y llevar a cabo sus actividades en consecuencia.

2 Propósito
El propósito de esta política es delinear el uso aceptable del equipo de cómputo y otros
dispositivos electrónicos en la empresa QUETZA. Estas normas se han establecido
para proteger al empleado y a la empresa QUETZA. El uso inapropiado expone a la
empresa QUETZA a riesgos cibernéticos que incluyen ataques de virus incluyendo

CONSENSUS POLICY RESOURCE COMMUNITY

© 2022 SANS™ Institute
ransomware, compromiso de sistemas y servicios de red, violación de datos y
problemas legales.

3 Ámbito de aplicación.
Esta política se aplica al uso de información, dispositivos electrónicos e informáticos, y
recursos de red para llevar a cabo negocios de la empresa QUETZA o interactuar con
redes internas y sistemas de negocio, ya sean propiedad o alquilados por la empresa
QUETZA el empleado, o un tercero. Todos los empleados, contratistas, consultores,
temporales y otros trabajadores de la empresa QUETZA y sus subsidiarias son
responsables de ejercer el buen juicio con respecto al uso apropiado de la información,
dispositivos electrónicos y recursos de red de acuerdo con las políticas y normas de la
empresa QUETZA y las leyes y regulaciones locales. Las excepciones a esta política
se documentan en la sección 5.2

Esta política se aplica a los empleados, contratistas, consultores, temporales y otros

trabajadores de la empresa QUETZA, incluyendo todo el personal afiliado a terceros.
Esta política se aplica a todos los equipos que son propiedad o arrendados por la
empresa QUETZA.

CONSENSUS POLICY RESOURCE COMMUNITY

© 2022 SANS™ Institute
4 Política

4.1 Uso general y propiedad.

4.1.1 4.1.1 La información de propiedad de la empresa QUETZA almacenada en

dispositivos electrónicos e informáticos, ya sean de propiedad o alquilados por la
empresa QUETZA, el empleado o un tercero, sigue siendo propiedad exclusiva
de la empresa QUETZA. Usted debe asegurar a través de medios legales o
técnicos que la información propietaria está protegida de acuerdo con la Norma
de Protección de Datos.

4.1.2 Usted tiene la responsabilidad de reportar prontamente el robo, pérdida o

divulgación no autorizada de información propietaria de la empresa QUETZA.

4.1.3 Usted puede acceder, utilizar o compartir información de propiedad de la

empresa QUETZA, sólo en la medida en que esté autorizado y sea necesario
para cumplir con sus funciones de trabajo asignadas.

4.1.4 Los empleados son responsables de ejercer buen juicio con respecto a la
razonabilidad del uso personal. Los departamentos individuales son
responsables de crear directrices relativas al uso personal de los sistemas de
Internet/Intranet/Extranet. En ausencia de tales políticas, los empleados deben
guiarse por las políticas departamentales sobre el uso personal, y si hay alguna
duda, los empleados deben consultar a su supervisor o gerente.

4.1.5 Para fines de seguridad y mantenimiento de la red, las personas autorizadas

dentro de la empresa QUETZA pueden monitorear equipos, sistemas y tráfico de
red en cualquier momento, de acuerdo con la Política de Auditoría de Infosec.

4.1.6 La empresa QUETZA se reserva el derecho de auditar redes y sistemas de

forma periódica para asegurar el cumplimiento de esta política.

4.2 Seguridad e información propietaria.

4.2.1 Todos los dispositivos móviles e informáticos que se conecten a la red interna
deben cumplir con la Política de Acceso Mínimo.

CONSENSUS POLICY RESOURCE COMMUNITY

© 2022 SANS™ Institute
4.2.2 Las contraseñas a nivel de sistema y a nivel de usuario deben cumplir con la
Política de Contraseñas. Está prohibido facilitar el acceso a otra persona, ya sea
deliberadamente o por no asegurar su acceso.
4.2.3 Todos los dispositivos informáticos deben estar asegurados con una pantalla de
bloqueo protegida por contraseña con la función de activación automática configurada
a 10 minutos o menos. Debe bloquear la pantalla o cerrar la sesión cuando el
dispositivo esté desatendido.
4.2.4 Las publicaciones realizadas por los empleados desde una dirección de correo
electrónico de la empresa QUETZA a grupos de noticias u otras plataformas en línea,
deben contener un descargo de responsabilidad que indique que las opiniones
expresadas son estrictamente las suyas y no necesariamente las de la empresa
QUETZA, a menos que la publicación se realice durante las obligaciones laborales.
4.2.5 Los empleados deben tener extremo cuidado al abrir archivos adjuntos de correo
electrónico recibidos de remitentes desconocidos, que pueden contener malware.

4.3 Uso inaceptable.

Las siguientes actividades están, en general, prohibidas. Los empleados pueden estar
exentos de estas restricciones durante sus responsabilidades legítimas de trabajo (por
ejemplo, el personal de administración de sistemas puede tener la necesidad de
desactivar el acceso a la red de un host si ese host está interrumpiendo los servicios de
producción).

En ninguna circunstancia un empleado de la empresa QUETZA está autorizado a

involucrarse en cualquier actividad que sea ilegal bajo la ley local, estatal, federal o
internacional mientras utiliza recursos propiedad de la empresa QUETZA.

Las listas a continuación no son de ninguna manera exhaustivas, pero intentan

proporcionar un marco para las actividades que entran en la categoría de uso
inaceptable.

4.2.3 Actividades del sistema y de la red.

Las siguientes actividades están estrictamente prohibidas, sin excepciones:

CONSENSUS POLICY RESOURCE COMMUNITY

© 2022 SANS™ Institute
1. Violaciones de los derechos de cualquier persona o empresa protegida por
derechos de autor, secretos comerciales, patentes u otra propiedad intelectual, o
leyes o reglamentos similares, incluyendo, pero no limitado a, la instalación o
distribución de "piratas" u otros productos de software que no están
debidamente autorizados para su uso por la empresa QUETZA.
2. La copia no autorizada de material protegido por derechos de autor, incluyendo,
pero no limitado a, la digitalización y distribución de fotografías de revistas, libros
u otras fuentes protegidas por derechos de autor, música protegida por derechos
de autor, y la instalación de cualquier software protegido por derechos de autor
para el cual la empresa QUETZA o el usuario final no tiene una licencia activa
está estrictamente prohibido.
3. El acceso a los datos, un servidor o una cuenta para cualquier propósito que no
sea la realización de la empresa QUETZA negocios, incluso si usted tiene
acceso autorizado, está prohibido.
4. La exportación de software, información técnica, software de encriptación o
tecnología, en violación de las leyes internacionales o regionales de control de
exportaciones, es ilegal. Se debe consultar a la dirección correspondiente antes
de exportar cualquier material que esté en cuestión.
5. Introducción de programas maliciosos en la red o el servidor (por ejemplo, virus,
gusanos, troyanos, ransomware, etc.).
6. Revelar la contraseña/frase de paso de su cuenta a otras personas o permitir
que otras personas utilicen su cuenta. Esto incluye a la familia y otros miembros
del hogar cuando se está trabajando en casa.
7. Utilizar un activo informático de la empresa QUETZA para participar activamente
en la obtención o transmisión de material que infrinja las leyes de acoso sexual o
de lugar de trabajo hostil en la jurisdicción local del usuario.
9. Hacer ofertas fraudulentas de productos, artículos o servicios originados desde
cualquier cuenta de la empresa QUETZA.
10. Hacer declaraciones sobre la garantía, expresa o implícitamente, a menos que
sea parte de las tareas normales del trabajo.

CONSENSUS POLICY RESOURCE COMMUNITY

© 2022 SANS™ Institute
 11. Efectuar violaciones de seguridad o interrupciones de la comunicación de red.
Las violaciones de la seguridad incluyen, entre otras, el acceso a datos de los
que el empleado no es destinatario o el inicio de sesión en un servidor o cuenta a
los que el empleado no está expresamente autorizado a acceder, a menos que
estas tareas formen parte de las tareas habituales. A efectos de esta sección,
"interrupción" incluye, pero no se limita a, sniffing de red, ping floods, packet
spoofing, denegación de servicio, brute-forcing de cuentas y falsificación de
información de enrutamiento con fines maliciosos.
12. El escaneo de puertos o el escaneo de seguridad están expresamente prohibidos
a menos que se notifique previamente al Equipo Infosec.
13. Eludir la autenticación de usuario o la seguridad de cualquier host, red o cuenta.
14. Introducir honeypots, honeynets, o tecnología similar en la red de la empresa
QUETZA.
15. Interferir o denegar el servicio a cualquier usuario que no sea el host del
empleado (por ejemplo, ataque de denegación de servicio).
16. Utilizar cualquier programa/script/comando, o enviar mensajes de cualquier tipo,
con la intención de interferir o inutilizar la sesión de terminal de un usuario, a
través de cualquier medio, localmente o a través de Internet/Intranet/Extranet.
17. Proporcionar información sobre, o listas de, empleados de la empresa QUETZA a
partes ajenas a la empresa QUETZA.
4.3.2 Correo electrónico y actividades de comunicación
Al utilizar los recursos de la empresa para acceder y utilizar Internet, los usuarios
deben ser conscientes de que representan a la empresa. Siempre que los empleados
declaren su afiliación a la empresa, deben indicar también claramente que "las
opiniones expresadas son las mías y no necesariamente las de la empresa". Las
preguntas pueden dirigirse al Departamento de TI.

1. Enviar mensajes de correo electrónico no solicitados, incluido el envío de "correo

basura" u otro material publicitario a personas que no lo hayan solicitado
específicamente (spam por correo electrónico).

CONSENSUS POLICY RESOURCE COMMUNITY

© 2022 SANS™ Institute
 2. Cualquier forma de acoso por correo electrónico, teléfono, texto o
buscapersonas, ya sea por el lenguaje, la frecuencia o el tamaño de los
mensajes.
3. Uso no autorizado, o falsificación, de la información del encabezado del correo
electrónico.
4. La solicitud de correo electrónico para cualquier otra dirección de correo
electrónico, distinta de la de la cuenta del remitente, con la intención de acosar o
de obtener respuestas.
5. Crear o reenviar "cartas en cadena", esquemas "Ponzi" u otros esquemas
"piramidales" de cualquier tipo.
6. Uso de correo electrónico no solicitado originado dentro de las redes de la
empresa QUETZA de otros proveedores de servicios de
Internet/Intranet/Extranet en nombre de, o para publicitar, cualquier servicio
alojado por la empresa QUETZA o conectado a través de la red de la empresa
QUETZA.
7. Publicar el mismo mensaje o mensajes similares no relacionados con la
empresa en un gran número de grupos de noticias de Usenet (spam de grupos
de noticias).

4.3.3 Blogs y redes sociales.

1. Bloguear o publicar en plataformas de medios sociales por los empleados, ya
sea utilizando la propiedad y los sistemas de la empresa QUETZA o sistemas
informáticos personales, también está sujeto a los términos y restricciones
establecidos en esta Política. El uso limitado y ocasional de los sistemas de
la empresa QUETZA para participar en blogs u otras publicaciones en línea
es aceptable, siempre que se haga de una manera profesional y
responsable, no viole de otra manera la política de la empresa QUETZA, no
sea perjudicial para los mejores intereses de la empresa QUETZA, y no
interfiera con las tareas regulares de trabajo de un empleado. Los blogs u
otras publicaciones en línea desde los sistemas de la empresa QUETZA
también están sujetos a monitoreo.

CONSENSUS POLICY RESOURCE COMMUNITY

© 2022 SANS™ Institute
 2. La política de Información Confidencial de la empresa QUETZA también se
aplica a los blogs. Como tal, los Empleados tienen prohibido revelar cualquier
información confidencial o propietaria de QUETZA, secretos comerciales o
cualquier otro material cubierto por la política de Información Confidencial de
QUETZA cuando se dediquen a bloguear.
3. Los empleados no participarán en ningún blog que pueda dañar o empañar la
imagen, la reputación y / o la buena voluntad de la empresa QUETZA y / o
cualquiera de sus empleados. Los empleados también tienen prohibido hacer
cualquier comentario discriminatorio, despectivo, difamatorio o de acoso al
bloguear o de otra manera participar en cualquier conducta prohibida por la
política de No Discriminación y Anti-Acoso de la empresa QUETZA.
4. Los empleados tampoco pueden atribuir declaraciones personales, opiniones
o creencias a la empresa QUETZA cuando participen en blogs. Si un
empleado está expresando sus creencias y/u opiniones en blogs, el
empleado no puede, expresa o implícitamente, representarse a sí mismo
como un empleado o representante de la empresa QUETZA Los empleados
asumen todos y cada uno de los riesgos asociados con el blogging.
5. Aparte de seguir todas las leyes relativas a la manipulación y divulgación de
materiales protegidos por derechos de autor o de exportación controlada, las
marcas comerciales de la empresa QUETZA, logotipos y cualquier otra
propiedad intelectual de la empresa QUETZA tampoco pueden ser utilizados
en relación con cualquier actividad de blogging o medios de comunicación
social.

5 Cumplimiento de las políticas

5.1 Medición del cumplimiento
El equipo Infosec verificará el cumplimiento de esta política a través de varios métodos,
incluidos, entre otros, informes de herramientas empresariales, auditorías internas y
externas, y comentarios al propietario de la política.
5.2 Excepciones.

CONSENSUS POLICY RESOURCE COMMUNITY

© 2022 SANS™ Institute
Cualquier excepción a la política deberá ser aprobada previamente por el equipo
Infosec.
5.3 Incumplimiento.
Todo empleado que infrinja esta política podrá ser objeto de medidas disciplinarias,
incluido el despido.

6 Normas, políticas y procesos relacionados

• Política de clasificación de datos.
• Norma de protección de datos.
• Política de medios sociales.
• Política de acceso mínimo.
• Política de contraseñas.

7 Definiciones y términos
Las siguientes definiciones y términos se pueden encontrar en el Glosario SANS
ubicado en: https://www.sans.org/security-resources/glossary-of-terms/

• Blogueo
• Honeypot
• Honeynet
• Información reservada
• Spam
• Ransomware

CONSENSUS POLICY RESOURCE COMMUNITY

© 2022 SANS™ Institute
8 Historial de revisiones.

Fecha del Responsable Resumen del cambio.

cambio

June 2014 Equipo de Política Actualizado y convertido al nuevo formato.

de SANS

Oct 2022 Equipo de Política Actualizado y convertido al nuevo formato.

de SANS

CONSENSUS POLICY RESOURCE COMMUNITY

© 2022 SANS™ Institute