POLITICAS Y NORMAS SEGÚN SUS RAMAS

Soporte y Mantenimiento

 Realizar la instalación o adaptación de sus sistemas de cómputo de acuerdo con los requerimientos en
materia de seguridad.
 Reportar al área de IT los incidentes de violación de seguridad, junto con cualquier experiencia o
información que ayude a fortalecer la seguridad de los sistemas de cómputo.
 Deben actualizar la información de los recursos de cómputo de la Corporación, cada vez que adquiera e
instale equipos o software.
 Podrán ingresar de forma remota a computadoras única y exclusivamente para la solución de problemas
y bajo solicitud explícita del propietario de la computadora, y con los programas remotos autorizados
por el área de TI (VNC/ANYDESK/TEAM VIEWER).
 Deben auditar periódicamente y sin previo aviso los sistemas y los servicios de red, para verificar la
existencia de archivos no autorizados, configuraciones no válidas o permisos extra que pongan en riesgo
la seguridad de la información.

Redes

 Se debe establecer el tiempo aceptable para recuperar los datos que tiene la Corporación
en caso de una interrupción o desastre (RPO), y garantizar una recuperación eficaz.

 La estrategia de continuidad de servicios de tecnologías de información y

recuperación de la Corporación deberá diseñar e implementar actividades de prevención y de
recuperación que ofrezcan las garantías necesarias para el restablecimiento de las operaciones
de la Corporación después de un desastre.

 El departamento de redes desarrollará un plan integral de continuidad de servicios de TI, y

realizará mejoras de forma periódica o ante cambios significativos tales como procesos, y/o
tecnología; para lo cual deberán participar activamente en dicha revisión las distintas áreas de
los procesos identificados como críticos.

 Se debe realizar copia de seguridad (Backup) de las aplicaciones, bases de datos y bodegas de
archivos alojados en servidores, con el propósito de salvaguardar la información. Estas se deben
realizar periódicamente por el área de TI de acuerdo a los planes establecidos.

 Se debe tener disponibilidad de plataformas computacionales, comunicaciones e información.

 El área de TI debe tener actualizada la documentación de roles detallados y tareas para cada
una de las personas involucradas en la ejecución del plan de continuidad de servicios TI.

 Se debe garantizar la divulgación y concientización de las políticas y del plan de continuidad de

servicios de TI y recuperación de desastres dentro de la Corporación.

Normas
  El departamento de redes velará porque los recursos informáticos se mantengan en constante y
perfecto funcionamiento, realizando para ello observaciones al uso y comportamiento de los
mismos.
 El Internet es una herramienta de trabajo y su autorización se concederá
exclusivamente para las actividades de consulta o transacción que están en relación con el
trabajo desempeñado.
 Cuando se detecte el mal uso del servicio de internet, el departamento de redes podrá eliminar
dicho acceso sin previo aviso.
 Los nombres de los equipos (PC) deberán identificar al usuario u oficina a la que han sido
asignados.

Base de Datos

 Deben de estar definidos roles y permisos a nivel del gestor de base de datos.
 Los usuarios o aplicaciones que deseen acceder directamente a la base de datos deben contar
con una cuenta y contraseña.
 Los funcionarios deberán de formular y ejecutar el presupuesto orientado a fortalecer la
plataforma de servidores y motores de base de datos.
 Respaldar periódicamente la información contenida en las bases de datos de la institución, e
implementar mecanismos de recuperación que permitan la continuidad en caso de desastres
 No se crearan usuarios de tipo SYSADMIN por petición de usuarios, salvo justificación y
aprobación del jefe del área y del jefe de quien solicita.
 Los usuarios no contaran con acceso a la acción de eliminación, únicamente podrán leer,
insertar y actualizar un registro.
 Las tablas de bitácora y de auditoria no deberán de ser accedidas por el usuario común,
únicamente por personal autorizado.
 Las contraseñas deben ser cambiadas cada tres meses.

Auditoria

 Los servicios de asesoría y trabajos especiales, serán planificados y ejecutados a solicitud de un

cliente interno. La inclusión o eliminación de servicios serán informados por el Auditor Interno
al Comité de Auditoría, quien dará conocer los resultados a la Junta Directiva.

 El auditor designado del departamento de auditoria evaluará las exposiciones a los riesgos de:
operaciones y sistemas de información, con relación a:

- El logro de los objetivos estratégicos.

 - La integridad de la información financiera y operativa.
- La eficacia y eficiencia de los procesos operativos
- El cumplimiento de las disposiciones legales, normativas, y manuales de políticas,
procedimientos.
- Los controles generales de las plataformas tecnológicas y entorno de TI, para garantizar
la, efectividad, integridad y funcionalidad de la tecnología de la información.
- Los controles aplicativos de los sistemas automatizados que soportan el negocio, para
garantizar el cumplimiento de las condiciones de seguridad, disponibilidad,
funcionalidad, confiablidad, auditabilidad, eficiencia, efectividad e
Integridad de los mismos.
 El departamento de auditoria efectuará el seguimiento permanente a la implementación y
cumplimiento de las órdenes, instrucciones y recomendaciones formuladas por el auditor.

 Toda la Información obtenida por el auditor estará sujeta al sigilo .

 El Auditor interno debe presentar al Comité de Auditoría todos los informes que elabore en el
cumplimiento de sus funciones.

 El auditor tendrá acceso a toda la Información que requiera en el cumplimiento de sus

actividades y cualquier limitación deberá ser comunicada por el Auditor Interno al Gerente
General.

 El departamento de auditoria debe presentar un resumen mensual de los reportes que elaboró
durante el mes anterior a la Junta Directiva.

Seguridad

 Los usuarios deberán abstenerse de divulgar o compartir sus datos de acceso a los programas y
sesiones de Windows Los equipos deberán contar con salvapantallas protegido por contraseña
con un tiempo de espera de 10 minutos para evitar accesos no autorizados.

 Todos los accesos a los programas principales (ERP, HELPDESK) estarán

protegidos mediante un mecanismo de usuario y contraseña, así como permisos de acceso. De
igual forma, las sesiones de Windows personales estarán protegidas con contraseña.

 Todo acceso a la información de la empresa deberá tener las respectivas autorizaciones y

accesos, que garanticen su respectiva seguridad, integridad y confidencialidad de la
información almacenada.

Normas
  El departamento de Informática contará con planes de contingencia en casos de emergencias
para minimizar los tiempos de inoperatividad de los Sistemas de Información.

 Los datos de los sistemas de información, serán respaldados de forma diaria y almacenados
periódicamente, debiendo llevarse una bitácora del sistema de los respaldos realizados,
asimismo, éstos se guardan en caja fuerte para garantizar su conservación.

 Los nombres de usuarios deberán estar formados por identificadores de sus nombres y/o
apellidos, con el fin de evitar duplicidades y definir responsabilidades en el registro de
información.

 Los usuarios deben notificar a su jefatura inmediata cualquier incidencia detectada que afecte
o pueda afectar la seguridad de los datos, tales como: pérdida de archivos en los discos duros
de sus equipos o memorias USB, sospechas de uso indebido de sus equipos o accesos no
autorizados por otras personas.

 Los usuarios no deben revelar bajo ningún concepto su identificador y/o

contraseña a otra persona, ni mantenerla por escrito a la vista, ni al alcance de terceros

Sistemas de Información

 Los programas desarrollados o adquiridos externamente serán de uso exclusivo de la

empresa DisNorte y no se permite el uso para funciones que no correspondan a las
operaciones normales de la empresa.
 Las solicitudes de nuevos sistemas de información a desarrollar deberán ser
formalmente presentadas por las gerencias, en forma escrita e indicando en éstas los
requerimientos generales por cubrir.
 Para los proyectos de desarrollo de sistemas de información deberá seguirse el
procedimiento de capturas y análisis de los requerimientos.
 Los sistemas de información desarrollados deberán ser entregados con su respectiva
documentación y manuales de usuarios.
 El control y monitoreo del avance de proyectos de sistemas de información estará a
cargo el Project Manager.
Normas
 Los sistemas de información que se tienen en operación, contarán con sus respectivos
instructivos o manuales actualizados.
  En los procedimientos de Desarrollo y Mantenimiento de Aplicaciones, se utilizará una
metodología que sea compatible con las herramientas para la elaboración de sistemas usadas
en la institución y que contenga lógica cronológica en sus respectivas fases, pero
fundamentalmente, deberá incluir el acompañamiento de los usuarios.

 El departamento de analistas de negocios tendrá la responsabilidad de documentar los

Sistemas Informáticos desarrollados con personal del área de desarrollo y de elaborar los
manuales técnicos y de usuarios correspondientes. Asimismo, deberá garantizar la actualización
de éstos cuando se realicen mejoras a los sistemas, programas o
aplicaciones desarrolladas por ellos.

 Toda generación de información o reportes de las Bases de Datos, nuevos

módulos informáticos y cambios en sistemas, debe ser solicitada por el
responsable de la oficina interesada por escrito o correo electrónico a la Jefatura de la
Departamento Informática.

 La custodia, control de uso y solicitud de actualización periódica de los bienes del ítem anterior
estarán bajo la responsabilidad de la Departamento Informática.

PROCEDIMIENTO: Administración de la información recolectada de los sistemas informáticos.

No Puesto Actividad
1 Project Manager Realización de Bitácoras de almacenamiento de las
transacciones realizadas en el sistema.

2 Project Manager Realización de bitácoras de error donde puedan almacenarse

un registro de los errores lógicos existente en los mismos

3 Project Manager El área de infraestructura tener habilitado ambiente de

pruebas para las distintas soluciones desarrolladas

4 Project Manager Centralizar la documentación existente de los sistemas.

 5 Project Manager Centralizar la ubicación de las versiones del código fuente
apoyándose de herramientas como GIT, TFS, Visual Source
Safe

PROCEDIMIENTO: Implementación de hardware y software.

N Puesto Actividad
.
1 INICIO
2 Jefatura de la Solicita la aprobación de la Jefatura de la Unidad de
Departamento Gestión para instalar en un lugar adecuado el recurso
Informatica informático.

3 Personal técnico de la Procede a la instalación del recurso informático de

Departamento Informatica acuerdo a la experiencia o inducción recibida,
y/o proveedor efectuando las respectivas pruebas que constaten la
calidad de este producto y su correcto funcionamiento
en compatibilidad con la estructura informática
institucional.

4 Personal técnico de la Informa a la Jefatura de la Departamento Informatica,

Departamento Informatica la finalización de este servicio para que de el VoBo e
y/o proveedor informe a la Jefatura de la Unidad de Gestión.

5 FIN Además, avisa a responsable de Activo Fijo para el

registro respectivo
5 Responsable de Activo Fijo Registra el bien en el sistema informático de acuerdo al
procedimiento 6.1
INCORPORACIÓN DE UN BIEN AL INVENTARIO DE
ACTIVO
FIJO del Manual de Políticas, Normas y Procedimientos
del Departamento de Servicios Generales-Oficina de
Almacén y Activo Fijo.

6 FIN
 PROCEDIMIENTO: Mantenimiento preventivo y correctivo de hardware y software.

No. Puesto Actividad

1 INICIO
2 Jefatura de la Avisa a la Jefatura de la Unidad de Gestión, sobre
Departamento cuáles equipos entrarán en proceso de
Informatica mantenimiento y/o reparación.

3 Jefatura de la Gestiona aviso de ingreso de proveedor con la

Departamento Unidad Administrativa Institucional, el servicio de
Informatica mantenimiento o reparación del equipo
informático.

4 Proveedor Se presenta a oficinas, para realizar el

mantenimiento preventivo o correctivo

5 Personal técnico de Inspecciona el trabajo realizado

la Departamento
Informatica

6 Personal técnico de Da el VoBo del servicio recibido, siempre y cuando

la Departamento los diferentes equipos reparados o atendidos, son
Informatica entregados en perfecto funcionamiento al
respectivo
usuario del mismo.
 No. Puesto Actividad
7 Personal técnico de Elabora un informe técnico del trabajo realizado al
la Departamento equipo o aplicaciones informáticas.
Informatica y el
proveedor del
Servicio
8 Personal técnico de Informa del trabajo realizado a la Jefatura de la
la Departamento Unidad responsable del bien y entrega copia del
Informatica informe técnico.

9 Jefatura de la Firma informe técnico, de recibir

Departmento a satisfacción el mantenimiento preventivo o
Informatica correctivo
10 Personal técnico de Archiva informe técnico
la Departamento
Informatica
11 FIN

PROCEDIMIENTO: Control de Accesos a la información.

No. Puesto Actividad

1 INICIO
2 Jefatura de Unidad Envía solicitud por escrito a la Departamento
de Gestión Informatica para que se creen accesos a la Red,
solicitante Aplicaciones y Bases de Datos de la institución.

3 Jefatura de la Se comunica con la Jefatura de la Unidad de

Departamento Gestión , para conocer en detalle los
Informatica requerimientos de seguridad
solicitados
4 Personal técnico de Crea una estructura de grupos y usuarios que
la Departamento serán reconocidos por el servidor para el acceso a
Informatica los recursos de la red (navegación interna o
externa, equipos remotos y accesos a sistemas
institucionales).
 5 Personal técnico de Crea niveles de acceso a los respectivos usuarios a
la Departamento las aplicaciones y a sus bases de datos.
Informatica

6 Usuarios Verifican el acceso de seguridad otorgado

7 Personal técnico de Informa a Jefatura de Unidad, de los accesos

la Unidad de otorgados de
Informática acuerdo a sus requerimientos.
8 FIN

Respaldo de la información en servidores o computadoras personales.

No. Puesto Actividad

1 INICIO
2 Personal técnico del Selecciona la información a respaldar de los
Departamento de servidores institucionales o de información
Informatica almacenada en otras computadoras, de
acuerdo a solicitud realizada por correo
electrónico
3 Personal técnico del Programa el respaldo de forma automática en una
Departamento de hora no hábil, utilizando un software
Informatica especializado para tal fin.

4 Personal técnico del Verifica el estado del respaldo realizado e informa

Departamento de a la Jefatura del Departamento de Informatica
Informatica sobre la calidad del procedimiento.

5 Personal técnico del Registra el respaldo realizado en el Control de

Departamento de respaldo y recuperación de datos.
Informatica
 6 Personal técnico del Envía medio magnético a una caja de seguridad
Departamento de interna o externa (si se cuenta con este servicio) y
Informatica se especifica el título de la etiqueta de la cinta y su
contenido en el libro de control ubicado en la
misma Caja de
Seguridad.
7 FIN

Creación de usuarios para Base de datos

No Puesto Actividad
1 DBA El usuario envía una solicitud escrita al DBA para la
creación de una cuenta
2 DBA El DBA aprueba la solicitud, crea una nueva cuenta en
base de datos forzando a cambiar la contraseña la
primera vez que se conecte el usuario.
3 DBA El DBA envía ésta información al usuario.
4 Usuario El usuario cambia la contraseña temporal por una
propia.