CENTRO NACIONAL DE SEGURIDAD DIGITAL

POLITICA DE USO ACEPTABLE DE LOS ACTIVOS

Versión 1.0
 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Código: PO029
Política de uso aceptable de los activos Versión: 1.0
Página 2 de 11

APROBACIONES

Elaborado por: Revisado por: Aprobado por:

<Nombre> <Nombre> <Nombre>

<Cargo> <Cargo> <Cargo>

<Firma> <Firma> <Firma>

CNSD│Centro Nacional de Seguridad

Digital
 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Código: PO029
Política de uso aceptable de los activos Versión: 1.0
Página 3 de 11

HISTORIAL DE REVISIONES

Versión Fecha Revisión

1.0 Junio 2022 Versión Inicial

CNSD│Centro Nacional de Seguridad

Digital
 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Código: PO029
Política de uso aceptable de los activos Versión: 1.0
Página 4 de 11

Contenido
1. INTRODUCCIÓN.......................................................................................................................... 5

1.1 AUTORIDAD...................................................................................................................................5
1.2 PROPÓSITO...................................................................................................................................5
1.3 ALCANCE.......................................................................................................................................5

2. POLÍTICA..................................................................................................................................... 6

3. CUMPLIMIENTO DE POLÍTICAS.................................................................................................. 11

CNSD│Centro Nacional de Seguridad

Digital
 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Código: PO029
Política de uso aceptable de los activos Versión: 1.0
Página 5 de 11

1. Introducción

1.1 Autoridad
El Centro Nacional de Seguridad Digital fue creado el 9 de enero del 2020, mediante
Decreto de Urgencia N° 007-2020, es el encargado de gestionar, dirigir, articular y
supervisar la operación, educación, promoción, colaboración y cooperación de la
Seguridad Digital a nivel nacional como componente integrante de la seguridad
nacional, a fin de fortalecer la confianza digital. También es responsable de
identificar, proteger, detectar, responder, recuperar y recopilar información sobre
incidentes de seguridad digital en el ámbito nacional para gestionarlos.

El Centro Nacional de Seguridad Digital se encuentra a cargo de la Presidencia del

Consejo de Ministros, a través de la Secretaría de Gobierno y Transformación
Digital.

1.2 Propósito
El propósito de esta política es garantizar que todos los empleados conozcan y
apliquen prácticas aceptables en el uso de los activos de información, asegurando
que todos los activos de información sean clasificados, protegidos y gestionados.
Esta política está diseñada para definir las pautas y responsabilidades del usuario
al usar y manipular la información, garantizando que está protegida y se use con
fines legítimos, de modo que exista un compromiso total con seguridad de la
información.

1.3 Alcance
Esta política se aplica a todos los empleados y afiliados de la organización.

CNSD│Centro Nacional de Seguridad

Digital
 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Código: PO029
Política de uso aceptable de los activos Versión: 1.0
Página 6 de 11

2. Política

2.1 Uso aceptable de los activos de la Información

Uso aceptable
Los activos de la información solo se podrán utilizar para llevar a cabo activi-
dades profesionales con el fin de realizar tareas relacionadas con la institu-
ción.
2.2 Responsabilidad de los activos
Todos los activos de la información tendrán un propietario designado en el in-
ventario de activos. El propietario del activo será responsable de la confiden-
cialidad, integridad y disponibilidad de la información del activo.
2.3 Retiro de los activos físicos
Los activos de TI podrán ser retirados de su lugar de almacenamiento, siem-
pre y cuando se realice la solicitud o procedimiento indicado y que sea correc-
tamente identificado. La solicitud de retiro de activos físicos deberá ser reali-
zada por el jefe del área responsable, formalizando la petición vía correo elec-
trónico, sistema de tickets o en cumplimiento del procedimiento establecido.
2.4 Devolución de los activos
Ante la desvinculación de trabajo, todos los dispositivos e información de la
institución deberán ser devueltos por el colaborador, en cumplimiento con los
procedimientos establecidos para tal fin.
2.5 Respaldo de la información
Cada usuario deberá guardar y mantener una copia actualizada de su informa-
ción en los servidores de archivos (o rutas compartidas por el Área de TI)
dado que estos servidores cuentan con rutinas diarias de respaldo de informa-
ción ante la presentación de cualquier tipo de incidente.
2.6 Monitoreo del uso de los sistemas de información y comunicación
Todos los datos creados, almacenados, enviados o recibidos a través de los
sistemas de información, u otros sistemas de comunicación de la institución
(incluidas las aplicaciones, correos electrónicos, entre otros) se consideran
propiedad de la institución por lo que esta, en total cumplimiento, se reserva el
derecho de monitorear y acceder el contenido de todas y cada una de las co -
municaciones electrónicas y telefónicas de los usuarios.
2.7 Instalación del software
La instalación de cualquier software no aprobado (software no reconocido
como parte de los sistemas necesarios para el negocio) estará estrictamente
prohibida en los equipos que son de propiedad de la institución o que están
bajo su responsabilidad. Cualquier software que requiera instalarse temporal-

CNSD│Centro Nacional de Seguridad

Digital
 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Código: PO029
Política de uso aceptable de los activos Versión: 1.0
Página 7 de 11

mente a pedido del servicio deberá solicitarse al área de tecnología cumplien-

do con el procedimiento establecido para tal fin.

2.8 Responsabilidad de las cuentas de usuario

El usuario no deberá, directa o indirectamente, permitir que otros utilicen sus
derechos acceso. Es decir, no deberá usar el nombre de usuario y/o contrase-
ña de otra persona.
2.9 Cuarto de Comunicaciones
El Cuarto de Comunicaciones deberá tener controles de restricción de acceso
físico, y solo las personas previamente autorizadas pueden tener acceso al
mismo. El acceso de los visitantes o de terceros deberá realizarse únicamente
con el acompañamiento de un empleado autorizado y cumpliendo con los pro-
tocolos definidos. El Cuarto de Comunicaciones se mantendrá limpio y organi-
zado, y no se permitirá la entrada de alimentos, bebidas o materiales inflama-
bles.
El Cuarto de Comunicaciones cuenta con equipos de protección física sufi-
cientes para garantizar la adecuada seguridad, tales como: cámaras de segu-
ridad, detectores de humo, aire acondicionado con control de humedad/tem-
peratura, alarmas contraincendios, racks de servidores y cableado protegido.
2.10 Acceso a Internet
 Cualquier información que se acceda, transmita, reciba o produzca en in-
ternet dentro de la institución puede estar sujeta a divulgación y auditoria.
 Los equipos, la tecnología y los servicios provistos para el acceso a inter-
net son propiedad de la institución, que puede analizar y si es necesario,
bloquear cualquier archivo, sitio web, correo electrónico, dominio o aplica-
ción almacenadas en la red internet o en las áreas privadas de la red, para
garantizar el cumplimiento de la política de la seguridad de la información.
 Cualquier intento de cambiar los parámetros de seguridad por parte de
cualquier empleado sin la debida acreditación y autorización para hacerlo
se considerará inadecuado y los riesgos relacionados se informarán al em-
pleado y su jefe inmediato o Gerente.
 La red de internet que la organización pone a disposición de los emplea -
dos, independientemente de su relación contractual, podrá utilizarse para
fines personales, siempre que no afecte el progreso del trabajo ni ponga en
riesgo la seguridad de la información de la institución.
2.11 Ingeniería Social y Phishing
 Los colaboradores nunca deberán divulgar información de la institución,
detalles de contacto, u otros detalles profesionales a terceros desconoci-

CNSD│Centro Nacional de Seguridad

Digital
 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Código: PO029
Política de uso aceptable de los activos Versión: 1.0
Página 8 de 11

dos sin autorización previa del Oficial de Seguridad. Sobre todo, informa-
ción clasificada como “restringida”, “confidencial” o de “uso interno”.
 Si el usuario no está seguro del origen de un enlace, correo electrónico u
otra comunicación, el colaborador deberá buscar orientación y notificar in-
mediatamente al Área de Tecnología o cumpliendo con el procedimiento
definido.
 Los colaboradores no deberán proporcionar su nombre o contraseña a tra-
vés de ningún enlace de correo electrónico, llamada telefónica u otro méto-
do hasta que el solicitante este totalmente identificado y verificado.
2.12 Gestión de Dispositivos
Los dispositivos móviles incluyen todo tipo de computadoras portátiles, telé-
fonos celulares, smartphones, dispositivos USB, tarjetas de memoria y otros
dispositivos móviles utilizados para almacenar, procesar y transferir datos.
2.13 Reglas básicas
 Los colaboradores deberán tomar precauciones cuando el dispositivo mó-
vil se encuentra en automóviles u otro tipo de transporte, espacios públi-
cos, habitaciones de hotel, lugares de reunión, centro de conferencias y
otras áreas no protegidas fuera de las instalaciones de la organización.
 Los colaboradores, que retiren los dispositivos móviles de las instalacio-
nes de la institución, deberán tener en cuenta estas consideraciones:
 Los dispositivos móviles que contienen información clasificada como
“confidencial”, “restringida” o de “uso interno” no deberán dejarse desaten-
didos y, si es posible, bloqueados físicamente.
 Cuando se utilicen dispositivos móviles en lugares públicas, el usuario de-
berá tener cuidado de que los datos no sean leídos por personas no autori-
zadas.
 El colaborador que utiliza equipos de dispositivos móviles fuera del sitio
será responsable de realizar copias de seguridad periódicas de los datos
en los repositorios compartidos de la compañía (servidor de archivos).
 La conexión a las redes de comunicación de la organización y el intercam-
bio de datos deberá reflejar la confidencialidad de los datos y ser realizado
a través del acceso VPN.
 La protección de datos confidenciales se deberá implementar de acuerdo
con la clasificación de la información.
2.14 Uso de dispositivos removibles
 Los puertos USB de las estaciones de trabajo y laptops se encuentran des-
habilitados por razones de seguridad. Para aquellos escenarios donde se
requiere hacer el uso de los mismos, se deberá de especificar los motivos
y brindar una autorización del jefe o Gerente inmediato.

CNSD│Centro Nacional de Seguridad

Digital
 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Código: PO029
Política de uso aceptable de los activos Versión: 1.0
Página 9 de 11

 Ante problemas, incidencias o señales del Malware, los dispositivos remo-

vibles USB deberán ser escaneados por el usuario con el antivirus local.
Los dispositivos removibles deberán ser dedicados para el uso laboral,
considerando que la información almacenada o transferencia es encripta-
da.
2.15 Uso de laptops
 En caso de daño, pérdida o no devolución de laptops y/o sus accesorios, el
usuario se regirá bajo las políticas del Área de Recursos Humanos, el cual
definirá el valor de indemnización correspondiente según sea el caso.
 El usuario tendrá prohibido usar las estaciones de trabajo o laptops para
cualquier otro propósito que no sea el relacionado con las actividades la-
borales de la organización.
 El usuario que está en posesión de estaciones de trabajo o laptops tendrá
permitido prestar el equipo a otro empleado de la institución., para usarlo
con el mismo propósito que el artículo anterior; sin embargo, el primer
usuario seguirá siendo el responsable.
2.16 Cuidado de los equipos
 El usuario será responsable del almacenamiento y resguardo del dispositi-
vo mientras está en su posesión, teniendo cuidado de preservar el disposi-
tivo, evitando su exposición en entornos y situaciones que pueden afectar
sus mecanismos de funcionamiento.
 A modo de ejemplo, aquí hay algunas precauciones especiales para garan-
tizar la conservación de su equipo:
 No limpiar la pantalla portátil con alcohol o productos equivalentes. La lim-
pieza deberá hacerse preferiblemente con una franela.
 No dejar caer líquidos sobre el teclado. Los líquidos deberán permanecer
alejando de su equipo.
 No conectar la computadora portátil a una toma de corriente sin verificar
primero y asegurarse que tenga el voltaje adecuado.
 No forzar o conectar cables opcionales sin saber primero que son compa-
tibles, evitando así daños a un puerto físico de su computadora portátil.
 No colocar objetos pesados encima del teclado.
 No golpear o dejar caer su dispositivo asignado (incluyendo hand helds,
laptops, tablets y celulares, en otros). Mantenga su dispositivo, así como
sus cables o accesorios, en un lugar seguro y apropiado para evitar acci-
dentes con las personas o con el dispositivo.
2.17 Gestión de Dispositivos
 El trabajo remoto significa que los dispositivos portátiles o de comunica-
ción se utilizarán para permitir que los usuarios trabajen fuera de la institu-

CNSD│Centro Nacional de Seguridad

Digital
 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Código: PO029
Política de uso aceptable de los activos Versión: 1.0
Página 10 de 11

ción. La concesión de acceso remoto deberá seguir el mismo proceso de

gestión de acceso.
 La protección física de los dispositivos móviles.
 La prevención del acceso no autorizado por parte de personas que viven o
trabajan en el lugar donde se realiza la actividad del trabajo remoto.
 La configuración de red adecuado utilizada para conectarse a Internet, bajo
una red segura protegida por contraseña.
2.18 Obligaciones
Los usuarios tendrán responsabilidades explicitas de seguridad de la informa-
ción y deberán ser responsables de sus acciones. Parte del rol general de la
administración será monitorear el cumplimiento de los requisitos de la presen-
te política:
 Cada empleado tendrá la obligación de proteger la información de propie-
dad y de clasificarla correctamente, de acuerdo con lo establecido por la
institución; así como de proteger físicamente los activos. Por lo tanto, los
ejemplos enumerados en esta práctica deberán usarse como una guía y
aplicarse adecuadamente.
 En caso de dañar físicamente algún dispositivo, se le solicitara un informe
del incidente suscitado (en caso necesario).
 Todos los empleados, contratistas y agentes tendrán la responsabilidad
continua de proteger la información patentada por la institución, los da-
tos, los elementos de infraestructura y los sistemas de soporte, y de ga-
rantizar la seguridad, la confiabilidad e integridad de las actividades de
procesamiento de información y procesamiento de información patenta-
da.
 Las violaciones de cualquiera de los elementos anteriores deberán ser re-
portadas al Oficial de Seguridad de la organización.
2.19 Penalidades
La organización se reserva el derecho de aplicar sanciones administrativas, le-
gales y penales debido al asunto. Todos los colaboradores deberán garantizar
el cumplimiento y la divulgación de las instrucciones contenidas en las políti-
cas y regulaciones de la institución y, para no ser cómplices de ningún delito,
deberán informar de inmediato cualquier violación de alguna regla a su supe-
rior inmediato y al Área de TI, evitando que se conviertan en coparticipe del
mismo grado de responsabilidad que el infractor.

CNSD│Centro Nacional de Seguridad

Digital
 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Código: PO029
Política de uso aceptable de los activos Versión: 1.0
Página 11 de 11

3. Cumplimiento de políticas
3.1.1 Medición de cumplimiento
Se verificará el cumplimiento de esta política a través de varios métodos,
incluidos, entre otros, recorridos periódicos, monitoreo de video, informes
de herramientas comerciales, auditorías internas y externas y comentarios
al propietario de la póliza.
3.1.2 Excepciones
Cualquier excepción a la política debe ser aprobada con anticipación.
3.1.3 Incumplimiento
Un empleado que haya violado esta política puede estar sujeto a medidas
disciplinarias, hasta e incluyendo la terminación del empleo.

CNSD│Centro Nacional de Seguridad

Digital