Manual IT iso9001:2015

1. OBJETIVO Y RIESGOS ASOCIADOS

El presente manual tiene como objetivo establecer lineamientos generales para la gestión de los recursos y servicios informáticos a cargo del Departamento de Sistemas.

La meta principal de la administración del riesgo informático es “proteger a la organización y su habilidad de manejar su misión” no solamente la protección de los elementos informáticos.

1. POLITICAS ASOCIADAS A ESTE PROCEDIMIENTO.

1.  ASPECTOS GENERALES

El Departamento de Sistemas de Innacensa, en coordinación con el Departamento de Sistemas de Comandato S.A. es el área que controla y gestiona los recursos y servicios de TI requeridos y utilizados para el soporte a las funciones y procesos de la organización.

Los usuarios tienen la responsabilidad de informar al Departamento de Sistemas sobre los eventos, incidentes, debilidades o fallas en los servicios y/o recursos tecnológicos que puedan causar un impacto negativo en las operaciones o en la seguridad de la información.

El Departamento de Sistemas, en coordinación con el Departamento de Sistemas de Comandato, debe   cumplir y hacer cumplir lo siguiente:

1. Proponer directivas, normas y procedimientos sobre el uso y administración de los servicios y/o recursos tecnológicos, y asegurar su difusión y cumplimiento por todo el personal de Innacensa.

1. Asegurar el funcionamiento adecuado de la infraestructura y plataformas tecnológicas disponibles para los usuarios y para el soporte de los procesos de Innacensa.

1. Mantener, controlar y evaluar el inventario actualizado de los activos tecnológicos, efectuando las acciones necesarias que aseguren la vigencia tecnológica de tales recursos.

1. Conducir las acciones técnicas dirigidas a la preparación de la infraestructura tecnológica para ayudar a garantizar la continuidad de las operaciones de Innacensa.

1.  GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN.

1. Toda decisión de inversión relacionada con las tecnologías de la información debe estar alineada a los requerimientos de Innacensa y respaldada por un presupuesto que permita desarrollar los proyectos necesarios que aseguren el logro de los objetivos previstos.

1. Se debe efectuar el seguimiento al cumplimiento de los requerimientos establecidos por las leyes, regulaciones y/o requerimientos contractuales respecto a las tecnologías de la información.

1. ACCESOS A LOS SERVICIOS TECNOLÓGICOS

1. Los servicios tecnológicos que requiera el personal de Innacensa deben ser solicitados con la autorización de las respectivas jefatura, debiendo los usuarios finales sujetarse a los términos y condiciones específicas que se hayan establecido para la provisión de dichos servicios.

1. Para acceder a los servicios tecnológicos que requieran previa adhesión tales como dominio institucional o correo electrónico, se deben otorgar mecanismos de identificación y autenticación a cada usuario autorizado, preservando la confidencialidad de las credenciales establecidas.

1. Las credenciales digitales de acceso (cuentas, nombres de usuario, claves de acceso y todo mecanismo de identificación por medios informáticos) para el acceso a los recursos y servicios tecnológicos disponibles, deben ser otorgadas al personal específicamente autorizado para dicho acceso. Las responsabilidades derivadas del uso de las credenciales otorgadas son estrictamente individuales y no transferibles.

1. Las credenciales digitales de acceso concedidas deben ser inhabilitadas mediante mandato por motivo de cese de funciones de la persona originalmente autorizada o por solicitud expresa del jerárquico superior.

1. CORREO ELECTRÓNICO, RED DE DATOS Y ACCESO A INTERNET.

1. Los servicios básicos de correo electrónico institucional, acceso al dominio de red, red de datos, extensión telefónica y acceso a Internet constituyen herramientas de negocio puestas a disposición del personal autorizado de Innacensa, para el desempeño de sus funciones. Su uso está sujeto a las mismas restricciones y revisiones administrativas de cualquier otro recurso institucional.

1. Cualquier contenido que se cree o transmita mediante los recursos tecnológicos o que se almacene dentro de la red informática de Innacensa, debe ser gestionado como un documento de propiedad de la empresa.

1. Todo usuario que tenga acceso autorizado a los servicios tecnológicos ofrecidos será responsable de las actividades que se hayan realizado en dichos servicios haciendo uso de sus credenciales individuales.

1. Durante el empleo de los servicios de red y de acceso a Internet se deben evitar prácticas o usos inapropiados que pudieran poner en riesgo la confidencialidad, integridad y disponibilidad de la información utilizada en la empresa.

1. El uso de los servicios de correo electrónico, red de datos y acceso a Internet por el personal, debe llevarse a cabo evitando el consumo irracional de estos recursos y sin entorpecer ni ocasionar interferencias con las labores de otros usuarios.

1. OPERACIONES Y SOPORTE TÉCNICO

1. Se deben establecer e implementar los procesos que permitan dirigir, controlar y monitorizar los cambios requeridos en las configuraciones de los sistemas informáticos e infraestructuras de soporte, evaluando el impacto de dichos cambios en los servicios tecnológicos.

1. Las actividades de adquisición y mantenimiento de la infraestructura tecnológica deben ser formuladas mediante planes pertinentes, cuya ejecución debe ser adecuadamente controlada supervisada y coordinada con el Departamento de Sistemas de Comandato.

1. Las atenciones de soporte técnico y las acciones realizadas para la resolución de incidentes y problemas deben ser registradas (REQ.156)con el objeto de formar una base de conocimiento de las soluciones implementadas.

1. Se deben establecer mecanismos para implementar y monitorizar indicadores de desempeño e impacto de las atenciones realizadas en la resolución de incidentes o problemas en los recursos y servicios tecnológicos.

1. EQUIPOS DE COMPUTACIÓN

1. El usuario al que se le asigna y recibe un equipo de cómputo será responsable del uso adecuado y racional de los mismos así como del software instalado, debiendo tomar las precauciones para el debido cuidado de los recursos asignados.

1. Todos los recursos tecnológicos asignados por Innacensa a un usuario, deben ser devueltos por éste al término de sus funciones u obligaciones contractuales, o cuando la necesidad operativa que justificó la asignación ya no sea vigente.

1. Cuando es recurso tecnológico es retirado, reubicado o reasignado, se deben efectuar las acciones apropiadas de control de los inventarios técnicos para asegurar que los registros respectivos se encuentren actualizados.

1. Deben aplicarse métodos y procedimientos apropiados de disposición para la baja de equipos informáticos que contengan o almacenen información potencialmente confidencial o sensible.

1. ADMINISTRACIÓN DE SOFTWARE

1. Considérese al software un activo institucional valioso, cuyo empleo en Innacensa debe llevarse a cabo en el marco de la normativa vigente sobre legalidad del uso de software.

1. El Departamento de Sistemas, es el área responsable del proceso de administración de todo activo de software utilizado en Innacensa, debiendo contemplar la adopción de controles adecuados que permitan adquirir, reproducir, distribuir, transmitir y utilizar los programas de software que se requieran en la empresa para el apoyo al desarrollo de su misión.

1. Toda licencia, documentación y medios originales de software que adquiera Innacensa, debe ser resguardada y centralizada para su custodia de manera segura por el Departamento de Sistemas.

1. Mantener actualizado el catálogo de software (libre o propietario) de la institución, desinstalar el software de las estaciones de trabajo que no posean licencias o que no estén aprobadas por el Departamento de Sistemas de Comandato.

1. Todo usuario debe utilizar el software que se le haya autorizado respetando los términos estipulados en el respectivo acuerdo de licencia de uso.

1. Se faculta la utilización de software propietario (no libre) únicamente cuando no exista una solución de software libre que supla las necesidades requeridas.

1.  SEGURIDAD EN LAS TECNOLOGÍAS DE LA INFORMACIÓN.

1. Se debe fomentar la participación del personal de Innacensa en actividades de concientización y entrenamiento en seguridad de la información, de modo que se asegure la difusión efectiva del conocimiento respectivo y el compromiso activo de cumplimiento de las políticas de seguridad establecidas.

1. Los usuarios deben utilizar los recursos tecnológicos autorizados solo de la manera y en las directrices establecidas, evitando obtener acceso no autorizado a dichos recursos más allá de los permisos y privilegios que se les haya concedido.

1. Se deben adoptar medidas razonables de protección para prevenir el acceso físico y uso indebido, daño, destrucción o robo de la infraestructura y de los sistemas de procesamiento de información de Innacensa. En especial, los recursos tecnológicos prioritarios administrados por el Departamento de Sistemas, deben contar con mecanismos adicionales para la protección efectiva en las instalaciones e infraestructura.

1. El usuario se compromete a crear una contraseña de características fuertes, que impidan el acceso a la cuenta por métodos de fuerza bruta o ingeniería social. Se considera fuerte a una contraseña que sea formada por letras mayúsculas, minúsculas, números, símbolos y con una extensión mínima de ocho caracteres.

1. El usuario se compromete en notificar al Departamento de Sistemas en el caso de recibir correos sospechosos o de origen desconocido, así se evitarán las infecciones con virus o software malicioso en general. Bajo ningún aspecto abrirá o ejecutará archivos adjuntos a correos dudosos.

1. Se deben implementar los mecanismos necesarios para la detección y prevención de software malicioso, así como asegurar y proteger las comunicaciones que se realizan en la mensajería electrónica, redes de datos e intercambios de información.

1. Debe mantenerse un registro de los incidentes de virus informáticos y otros ataques considerados graves o de alta importancia, incluyendo las acciones realizadas para su atención y solución.

1. Se deben establecer procedimientos documentos para la realización periódica de copias de seguridad de toda la información esencial institucional, así como comprobar de manera regular los correspondientes procedimientos de recuperación con el fin de asegurar su eficacia y prontitud.

1.  PROHIBICIONES

1. Utilizar el correo electrónico para actividades comerciales ajenas a la institución.
2. Participar en la propagación de cadenas, esquemas piramidales y otros similares de envío con el correo institucional.
3. Enviar o reenviar mensajes con contenido inapropiado, difamatorio, ofensivo, racista u obsceno.
4. Enviar mensajes anónimos, así como aquellos que consignen títulos, cargos o función no oficiales.
5. Utilizar mecanismos y sistemas, que intenten ocultar o suplantar la identidad del emisor del correo electrónico.
6. Ofrecer su cuenta de correo electrónico a personas no autorizadas.

1. ALCANCE Y DEFINICIONES

Las disposiciones contenidas en el presente manual son de aplicación para todos los empleados que prestan servicios en Innacensa y de las personal naturales o jurídicas que en el ejercicio de sus labores interactúen con los recursos y servicios de las tecnologías de la información de Innacensa.

...