manual de sanciones incumplimiento de polÍtica … · información, en base a lo estipulado en el...
TRANSCRIPT
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA
SEGURIDAD DE LA INFORMACIÓN
CONSULTORÍA REINGENIERÍA, MODERNIZACIÓN Y ASESORÍA EN SEGURIDAD INFORMÁTICA DE LA SCGG2017
CONTROL VERSIÓN
VERSIÓN FECHA ELABORADO POR: REVISADO POR: V.1 30 de Junio del 2017 Juan Carlos Inestroza Ángel Orlando Paz,
Denis Vásquez
TABLA DE CONTENIDOS
1 OBJETIVOS ................................................................................................................................................. 1
1 ASPECTOS GENERALES ................................................................................................................................ 2
2 SANCIONES PARA LAS VIOLACIONES A LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ......................... 3
3 POLÍTICA PARA USO DE CONEXIONES REMOTAS .......................................................................................... 3
3.1 NORMAS PARA USO DE CONEXIONES REMOTAS ........................................................................................................... 3
4 POLÍTICA RELACIONADA CON LA SOCIALIZACIÓN DE LAS POLÍTICAS CON LOS EMPLEADOS ........................... 4
5 POLÍTICA APLICABLE DURANTE LA VINCULACIÓN DE PERSONAL PROVISTO POR TERCEROS ......................... 4
5.1 NORMAS APLICABLES DURANTE LA VINCULACIÓN DE PERSONAL PROVISTO POR TERCEROS ................................................... 5
6 POLÍTICA DE RESPONSABILIDAD POR LA INFORMACIÓN .............................................................................. 6
6.1 NORMA DE RESPONSABILIDAD DE LOS ACTIVOS .......................................................................................................... 6
7 POLÍTICA DE RESPONSABILIDADES DE ACCESO DE LOS EMPLEADOS ............................................................. 7
7.1 NORMA DE RESPONSABILIDAD DE ACCESO DE LOS USUARIOS ......................................................................................... 7
8 POLÍTICA DE ÁREAS SEGURAS ..................................................................................................................... 7
8.1 NORMA DE ÁREA SEGURA ...................................................................................................................................... 7
9 POLÍTICA DE SEGURIDAD PARA LOS EQUIPOS DE LA INSTITUCIÓN ................................................................ 8
9.1 NORMAS DE SEGURIDAD PARA LOS EQUIPOS INSTITUCIONALES ....................................................................................... 8
10 POLÍTICA DE COPIAS DE RESPALDO DE LA INFORMACIÓN ............................................................................ 9
10.1 NORMAS DE COPIAS DE RESPALDO DE LA INFORMACIÓN ............................................................................................... 9
11 . POLÍTICA DE USO DEL CORREO ELECTRÓNICO .......................................................................................... 10
11.1 NORMAS DE USO DEL CORREO ELECTRÓNICO ............................................................................................................10
12 POLÍTICA DE USO ADECUADO DE INTERNET ............................................................................................... 10
12.1 NORMAS DE USO ADECUADO DE INTERNET ...............................................................................................................11
13 TIPOS DE FALTAS SEGURIDAD INFORMÁTICA SECRETARÍA DE COORDINACIÓN GENERAL DE GOBIERNO ...... 11
13.1 FALTAS LEVES .....................................................................................................................................................11 13.2 SANCIONES LEVES................................................................................................................................................12 13.3 FALTAS MEDIAS ..................................................................................................................................................12 13.4 SANCIONES MEDIAS ............................................................................................................................................13 13.5 FALTAS GRAVES ..................................................................................................................................................13 13.6 SANCIONES GRAVES ............................................................................................................................................14
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 1 | 14
1 OBJETIVOS
Objetivo General:
Determinar y establecer las sanciones por incumplimiento de la política de seguridad de la información esto
con la finalidad de poder mejorar y asegurar el cumplimento total de dicha política de seguridad de la
información implementada en la institución, que permitirá asegurar el principal activo de información, para
así poder proporcionar información disponible, oportuna y verificable para la toma de decisiones.
Objetivos específicos:
• Establecer las normas para el establecimiento de conexiones remotas a la plataforma tecnológica
de la institución, que permita crear vínculos seguros para el envío y recepción de información.
• Determinar normativa para la responsabilidad de la información desde el punto de vista holístico
de la Institución.
• Determinar normativa para la seguridad de la información de los respaldos, para asegurar la
integridad total de los datos respaldado.
• Determinar normativa de uso del internet así como las respectivas sanciones en caso de ser este
uso inadecuado para la institución, y este afecte directamente la seguridad de la información.
• Establecimiento del tipo de faltas y líneas de acción por cada una de ellas, que permitirán a la
Secretaría de Coordinación General del Gobierno, garantizar el cumplimiento de la política de
seguridad de la información.
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 2 | 14
1 ASPECTOS GENERALES
La Secretaría de Coordinación General de Gobierno, identifica la información como un componente
indispensable en la conducción y consecución de los objetivos definidos por la estrategia de la institución,
razón por la cual es necesario que la institución establezca un margen en el cual se asegure que la
información está protegida de una manera adecuada independientemente de la forma en la que ésta sea
manejada, procesada, transportada o almacenada. Este documento describe las políticas de seguridad de la
información definidas por la Secretaría de Coordinación General de Gobierno. Para la elaboración del mismo,
se toman como base las leyes y demás regulaciones aplicables, tomando en cuenta la norma ISO 27001:2013
y sus debidas recomendaciones.
Las políticas incluidas en este manual se constituyen como parte fundamental del sistema de gestión de
seguridad de la información de la Secretaría de Coordinación General de Gobierno y se convierten en la base
para la implantación de sanciones definidos. La seguridad de la información es una prioridad para la
Secretaría de Coordinación General de Gobierno y por tanto es responsabilidad de todos velar por que no se
realicen actividades que contradigan la esencia y el espíritu de cada una de estas políticas.
Las políticas de seguridad de la información cubren todos los aspectos administrativos y de control que
deben ser cumplidos por los directivos, funcionarios y terceros que laboren o tengan relación con la
Secretaría de Coordinación General de Gobierno, para conseguir un adecuado nivel de protección de las
características de seguridad y calidad de la información relacionada.
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 3 | 14
2 SANCIONES PARA LAS VIOLACIONES A LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Las Políticas de Seguridad de la Información pretenden instituir y afianzar la cultura de seguridad de la
información entre los funcionarios y personal externo de la Secretaría de Coordinación General de Gobierno.
Por tal razón, es necesaria que las violaciones a las Políticas Seguridad de la Información sean clasificadas,
con el objetivo de aplicar medidas correctivas conforme con los niveles de clasificación definidos y mitigar
posibles afectaciones contra la seguridad de la información. Las medidas correctivas pueden considerar
desde acciones administrativas, hasta acciones de orden disciplinario o penal, de acuerdo con las
circunstancias, si así lo ameritan.
3 POLÍTICA PARA USO DE CONEXIONES REMOTAS
La Secretaría de Coordinación General de Gobierno, establecerá las circunstancias y requisitos para el
establecimiento de conexiones remotas a la plataforma tecnológica de la institución; así mismo, suministrará
las herramientas y controles necesarios para que dichas conexiones se realicen de manera segura.
3.1 NORMAS PARA USO DE CONEXIONES REMOTAS Normas dirigidas a: Departamento de Sistemas
I. El departamento de Sistemas debe implantar los métodos y controles de seguridad para establecer
conexiones remotas hacia la plataforma tecnológica de la Secretaría de Coordinación General de
Gobierno.
II. El departamento de Sistemas debe restringir las conexiones remotas a los recursos de la plataforma
tecnológica; únicamente se deben permitir estos accesos a personal autorizado y por periodos de
tiempo establecidos, de acuerdo con las labores desempeñadas.
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 4 | 14
III. El departamento de Sistemas debe verificar la efectividad de los controles aplicados sobre las
conexiones remotas a los recursos de la plataforma tecnológica de la Secretaría de Coordinación
General de Gobierno de manera permanente.
Normas dirigidas a: Todos los Empleados
I. Los usuarios que realizan conexión remota deben contar con las aprobaciones requeridas para
establecer dicha conexión a cualquier dispositivo, incluyendo aquellos de la plataforma tecnológica
de la Secretaría de Coordinación General de Gobierno y deben acatar las condiciones de uso
establecidas para dichas conexiones.
4 POLÍTICA RELACIONADA CON LA SOCIALIZACIÓN DE LAS POLÍTICAS CON LOS EMPLEADOS
La Secretaría de Coordinación General de Gobierno garantizará que la socialización estará orientada a las
funciones y roles que deben desempeñar los funcionarios en sus cargos.
Normas dirigidas a: Recursos Humanos, Gerentes y Jefes de Área.
I. Recursos Humanos debe certificar que los funcionarios de la Secretaría de Coordinación General de
Gobierno firmen un Acuerdo y/o Cláusula de Confidencialidad y un documento de Aceptación de
Políticas de Seguridad de la Información; estos documentos deben ser anexados a los demás
documentos relacionados con la ocupación del cargo.
II. Cada Gerente o Jefe de área debe verificar la existencia de Acuerdos y/o Cláusulas de
Confidencialidad y de la documentación de Aceptación de Políticas de Seguridad de la Información,
antes de otorgar acceso a la información de la Secretaría de Coordinación General de Gobierno.
5 POLÍTICA APLICABLE DURANTE LA VINCULACIÓN DE PERSONAL PROVISTO POR TERCEROS
La Secretaría de Coordinación General de Gobierno, en su interés por proteger su información y los recursos
de procesamiento de la misma demostrará el compromiso en este esfuerzo, promoviendo que el personal
cuente con el nivel deseado de conciencia en seguridad de la información para la correcta gestión de los
activos de información y ejecutando el proceso disciplinario necesario cuando se incumplan las Políticas de
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 5 | 14
seguridad de la información de la Institución. Todos los funcionarios de la Secretaría de Coordinación General
de Gobierno deben ser cuidadosos de no divulgar información confidencial en lugares públicos, en
conversaciones o situaciones que pongan en riesgos la seguridad y el buen nombre de la entidad.
5.1 NORMAS APLICABLES DURANTE LA VINCULACIÓN DE PERSONAL PROVISTO POR TERCEROS Norma dirigida a: La Máxima Autoridades
I. La máxima autoridad debe demostrar su compromiso con la seguridad de la información por medio
de su aprobación de las políticas, normas y demás lineamientos que desee establecer en la
institución.
Normas dirigidas a: Recursos Humanos
I. Recursos Humanos debe definir y establecer el proceso disciplinario o incluir en el proceso
disciplinario existente, las sanciones de las faltas de incumplimiento a las políticas de seguridad o los
incidentes de seguridad que lo ameriten.
II. Recursos Humanos debe aplicar el proceso disciplinario de la Secretaría de Coordinación General de
Gobierno cuando se identifiquen violaciones o incumplimientos a las políticas de seguridad de la
información, en base a lo estipulado en el código de servicio civil en temas de contrataciones de
personal del Estado.
Norma dirigida a: Recursos Humanos y Oficial de Seguridad Informática
I. Recursos Humanos y el oficial de Seguridad Informática debe convocar a los empleados a las charlas
y eventos programados como parte del programa de concienciación en seguridad de la información,
proveer los recursos para la ejecución de las capacitaciones y controlar la asistencia a dichas charlas
y eventos, aplicando las sanciones pertinentes por la falta de asistencia no justificada.
Normas dirigidas a: Todo el Personal
I. Los empleados deben dar cumplimiento a las políticas, normas y procedimientos de seguridad de la
información, así como asistir a las capacitaciones que sean referentes a la seguridad de la
información.
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 6 | 14
6 POLÍTICA DE RESPONSABILIDAD POR LA INFORMACIÓN
La Secretaría de Coordinación General de Gobierno, es propietario de la información física así como de la
información generada, procesada, almacenada y transmitida con su plataforma tecnológica y otorgará
responsabilidad a las áreas sobre la información, asegurando el cumplimiento de las directrices que regulen
el uso adecuado de la misma.
La información, archivos físicos, los sistemas, los servicios y los equipos (ej. estaciones de trabajo, equipos
portátiles, impresoras, redes, Internet, correo electrónico, herramientas de acceso remoto, aplicaciones,
teléfonos, entre otros) propiedad de la Secretaría de Coordinación General de Gobierno, son activos de la
institución y se proporcionan a los funcionarios y terceros autorizados, para cumplir con los propósitos de
la institución.
6.1 NORMA DE RESPONSABILIDAD DE LOS ACTIVOS Normas dirigidas a: Todos los empleados
I. Los recursos tecnológicos de la Secretaría de Coordinación General de Gobierno, deben ser utilizados
de forma ética y en cumplimiento de las leyes y reglamentos vigentes, con el fin de evitar daños o
pérdidas sobre la operación o la imagen de la institución.
II. Los recursos tecnológicos de la Secretaría de Coordinación General de Gobierno provistos a
funcionarios, son proporcionados con el único fin de llevar a cabo las labores de la Secretaría de
Coordinación General de Gobierno; por consiguiente, no deben ser utilizados para fines personales
o ajenos a este.
III. Los empleados no deben utilizar sus equipos de cómputo y dispositivos móviles personales para
desempeñar las actividades laborales.
IV. Los funcionarios no deben utilizar software no autorizado o de su propiedad en la plataforma
tecnológica de la Secretaría de Coordinación General de Gobierno.
V. Todas las estaciones de trabajo, dispositivos móviles y demás recursos tecnológicos son asignados a
un responsable, por lo cual es su compromiso hacer uso adecuado y responsable de dichos recursos
y este deberá de estar registrado dentro del sistema de información de control de los bienes del
Estado.
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 7 | 14
VI. En el momento de romper la relación laboral o cambio de labores, los empleados deben realizar la
entrega de los activos de su puesto de trabajo al jefe de área; y solicitar una nota de descargo
generado por el sistema de control de bienes del Estado SIAFI, debidamente firmada, así mismo,
deben encontrarse en buenas condiciones al momento de hacer entrega de los recursos
tecnológicos y otros activos de información suministrados en el momento de su contratación.
7 POLÍTICA DE RESPONSABILIDADES DE ACCESO DE LOS EMPLEADOS
Los usuarios de los recursos tecnológicos y los sistemas de información de la Secretaría de Coordinación
General de Gobierno realizarán un uso adecuado y responsable de dichos recursos y sistemas.
7.1 NORMA DE RESPONSABILIDAD DE ACCESO DE LOS USUARIOS
Normas dirigidas a: Todos los Empleados
I. Los usuarios de la plataforma tecnológica, los servicios de red y los sistemas de información de la
Secretaría de Coordinación General de Gobierno deben hacerse responsables de las acciones
realizadas en los mismos, así como del usuario y contraseña asignados para el acceso a estos.
El personal no debe compartir información de usuario y contraseñas con otros empleados o con personal
provisto por terceras partes.
8 POLÍTICA DE ÁREAS SEGURAS
La Secretaría de Coordinación General de Gobierno, proveerá la implantación y velará por la efectividad de
los mecanismos de seguridad física y control de acceso que aseguren el perímetro de sus instalaciones.
Todas las áreas destinadas al procesamiento o almacenamiento de información sensible, así como aquellas
en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de información y
comunicaciones, se consideran áreas de acceso restringido.
8.1 NORMA DE ÁREA SEGURA Normas dirigidas a: Unida de Sistemas de Información.
I. Las solicitudes de acceso al centro de cómputo deben ser aprobadas por el jefe del área Sistemas de
Información; no obstante, los visitantes siempre deberán estar acompañados de un empleado de
dicho departamento durante su visita al centro de cómputo.
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 8 | 14
II. El área de Sistemas de información, debe descontinuar o modificar de manera inmediata los
privilegios de acceso físico al centro de cómputo que están bajo su custodia, en los eventos de
desvinculación o cambio en las labores de un empleado autorizado.
Normas dirigidas a: Oficiales de Seguridad Física
I. Los ingresos y salidas de personal a las instalaciones de la Secretaría de Coordinación General de
Gobierno deben ser registrados; por consiguiente, los funcionarios y personal provisto por terceras
partes deben cumplir completamente con los controles físicos implementados.
II. Todas las visitas deben utilizar el carnet de visita que facilite su identificación.
Normas dirigidas a: Todo el Personal
I. Todos los empleados deben portar el carné que los identifica como tales en un lugar visible mientras
se encuentren en las instalaciones de la institución; en caso de pérdida del carné o tarjeta de acceso
a las instalaciones, deben reportarlo a la mayor brevedad posible.
9 POLÍTICA DE SEGURIDAD PARA LOS EQUIPOS DE LA INSTITUCIÓN
Para evitar la pérdida, robo o exposición al peligro de los recursos de la plataforma tecnológica de la
Secretaría de Coordinación General de Gobierno que se encuentren dentro o fuera de sus instalaciones,
proveerá los recursos que garanticen la mitigación de riesgos sobre dicha plataforma tecnológica.
9.1 NORMAS DE SEGURIDAD PARA LOS EQUIPOS INSTITUCIONALES Normas dirigidas a: Todos los Empleados
I. Cuando se presente una falla o problema de hardware o software en una estación de trabajo u otro
recurso tecnológico propiedad de la Secretaría de Coordinación General de Gobierno el usuario
responsable debe informar al área de Sistema de información, con el fin de realizar una asistencia
adecuada. El empleado no debe intentar solucionar el problema.
II. La instalación, reparación o retiro de cualquier componente de hardware o software de las
estaciones de trabajo, dispositivos móviles y demás recursos tecnológicos de la institución, solo
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 9 | 14
puede ser realizado por los empleados del área de sistemas de información, o personal de terceras
partes autorizado por dicha área.
III. Los empleados de la Secretaría de Coordinación General de Gobierno, no deben dejar encendidas
las estaciones de trabajo, PC u otros recursos tecnológicos en horas no laborables.
IV. Todos los empleados deben bloquear sus estaciones de trabajo y PC en el momento de abandonar
su puesto de trabajo.
V. Todos los empleados deben procurar que al terminar la jornada laboral sus escritorios queden libres
de documentos y, que estos sean almacenados bajo las protecciones de seguridad necesarias.
10 POLÍTICA DE COPIAS DE RESPALDO DE LA INFORMACIÓN
Se certificará la generación de copias de respaldo y almacenamiento de la información crítica,
proporcionando los recursos necesarios y estableciendo los procedimientos y mecanismos para la realización
de estas actividades.
Las áreas propietarias de la información, con el apoyo del área de sistemas de información, encargados de
la generación de copias de respaldo, definirán la estrategia a seguir y los periodos de rotación para el
respaldo y almacenamiento de la información.
10.1 NORMAS DE COPIAS DE RESPALDO DE LA INFORMACIÓN Normas dirigidas: Área de Sistemas de información
I. El área de Sistemas de información, debe generar y adoptar los procedimientos para la generación,
restauración, almacenamiento y tratamiento para las copias de respaldo de la información, velando
por su integridad y disponibilidad.
II. El área de sistemas de información, debe llevar a cabo los procedimientos para realizar pruebas de
recuperación con copias de respaldo, para así comprobar su integridad y posibilidad de uso en caso
de ser necesario.
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 10 | 14
11 . POLÍTICA DE USO DEL CORREO ELECTRÓNICO
La importancia del correo electrónico como herramienta para facilitar la comunicación entre funcionarios y
terceras partes, proporcionará un servicio idóneo y seguro para la ejecución de las actividades que requieran
el uso del correo electrónico, respetando siempre los principios de confidencialidad, integridad,
disponibilidad y autenticidad de quienes realizan las comunicaciones a través de este medio.
11.1 NORMAS DE USO DEL CORREO ELECTRÓNICO Normas dirigidas a: Todos los Empleados
I. La cuenta de correo electrónico asignada es de carácter individual; por consiguiente, ningún
empleado de la institución, bajo ninguna circunstancia debe utilizar una cuenta de correo que no
sea la suya.
II. Los mensajes y la información contenida en los correos electrónicos deben ser relacionados con el
desarrollo de las labores y funciones de cada usuario en apoyo al objetivo de la Secretaría de
Coordinación General de Gobierno. El correo institucional no debe ser utilizado para actividades
personales.
III. Los empleados con correo electrónico institucional tienen prohibido el envío de cadenas de
mensajes de cualquier tipo, ya sea comercial, político, religioso, material audiovisual, contenido
discriminatorio, pornografía y demás condiciones que degraden la condición humana y resulten
ofensivas para los empleados y el personal provisto por terceras partes.
12 POLÍTICA DE USO ADECUADO DE INTERNET
Se es consciente de la importancia de Internet como una herramienta para el desempeño de labores y se
proporcionará los recursos necesarios para asegurar su disponibilidad a los empleados que así lo requieran
para el desarrollo de sus actividades diarias en la Institución.
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 11 | 14
12.1 NORMAS DE USO ADECUADO DE INTERNET Normas dirigidas a: Área de Sistemas de información
I. El área de Sistemas de información debe proporcionar los recursos necesarios para la
implementación, administración y mantenimiento requeridos para la prestación segura del servicio
de Internet, bajo las restricciones de los perfiles de acceso establecidos.
II. El área de Sistemas de información debe establecer procedimientos e implementar controles para
evitar la descarga de software no autorizado, evitar código malicioso proveniente de Internet y evitar
el acceso a sitios catalogados como restringidos.
Normas dirigidas a: Todos los Empleados
I. Los empleados que utilicen el servicio de Internet de la institución deben hacer uso del mismo en
relación con las actividades laborales que así lo requieran.
II. Los empleados que utilicen el servicio de Internet deben evitar la descarga de software desde
internet, así como su instalación en las estaciones de trabajo o dispositivos móviles asignados para
el desempeño de sus labores
III. Los empleados tienen prohibido el acceso y el uso de servicios interactivos o mensajería instantánea,
que tengan como objetivo crear comunidades para intercambiar información, o bien para fines
diferentes a las actividades propias de la Secretaría de Coordinación General de Gobierno.
IV. No está permitido la descarga, en las estaciones de trabajo, el uso, intercambio y/o instalación de
juegos, música, películas, protectores y fondos de pantalla, software de libre distribución,
información y productos que de alguna forma atenten contra la integridad, disponibilidad y/o
confidencialidad de la institución.
13 TIPOS DE FALTAS SEGURIDAD INFORMÁTICA SECRETARÍA DE COORDINACIÓN GENERAL DE GOBIERNO
13.1 FALTAS LEVES a) Intercambiar contraseñas asignadas individualmente con los demás empleados, ya sea de
dispositivos tecnológicos o accesos físicos a las oficinas.
b) Utilizar el dispositivo móvil corporativo de manera irresponsable e insegura (envío de fotografías de
oficina, equipos, documentos, etc.) propiedad de la Secretaría de Coordinación General de Gobierno
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 12 | 14
c) Utilizar el servicio de internet, en las estaciones de trabajo, para utilización de redes sociales, chat,
video, juegos en línea y herramientas de comunicación como correo electrónico; de manera
irresponsable (envío de fotografías de oficina, equipos, documentos, etc.)
d) No aplicar buenas prácticas de escritorio limpio en su lugar de trabajo; tanto física como en las
estaciones de trabajo.
e) No utilización del Carnet de Identificación en Instalaciones.
f) No asistir a capacitaciones de concientización de seguridad de la información
13.2 SANCIONES LEVES
a) Primera vez se hará un llamado de atención verbal
b) Segunda vez llamado de atención por escrito y se considerara una falta media.
c) Si se vuelve a reincidir en una falta leve por tercera vez se le levantará un acta de descargo
suspensión de 5 días sin goce de salario.
d) Cuarta vez despido inmediato como está establecido en el código del trabajo: Son causas justas que
facultan al patrono para dar por terminado el contrato de responsabilidad de su parte:
a. La negativa manifiesta y reintegrada del trabajador de no adoptar las medidas preventivas
o a seguir los procedimientos indicados para evitar accidentes o enfermedades; o el no
acatar el trabajador en igual forma y en perjuicio del patrono, las normas que este o su
representante en la dirección de los trabajos le indiquen con claridad para obtener la mayor
eficacia y rendimiento en las labores que se están ejecutando.
13.3 FALTAS MEDIAS
a) Uso Inadecuado del correo electrónico con fines personales y/o envío de información confidencial a
cuentas públicas o remitentes a los cuales no les corresponda dicha información.
b) No acatar las políticas de seguridad de la organización y continuidad del negocio, y cualquier otro
procedimiento definido por seguridad de la información.
c) No identificar y proteger la información sensible de la institución correspondiente al puesto de
trabajo asignado. Uso no autorizado de dicha información.
d) Emplear conexiones WiFi inseguras, para realizar trabajos de la institución en línea.
e) No utilizar adecuadamente los activos (teléfonos, computadoras, etc.) de la organización.
f) No bloquear el equipo (PC) cuando se les desatiende (se aleja de su puesto de trabajo).
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 13 | 14
g) Reincidencia en no mantener el escritorio limpio, tanto físico como en los sistemas operativos
(Carpeta mis documentos, etc.).
h) Reincidencia en la No utilización del carnet de identificación en Instalaciones.
13.4 SANCIONES MEDIAS
a) Primera vez llamado de atención por escrito.
b) Segunda vez se levantará un acta de descargo y suspensión de 5 días sin goce de salario.
c) Tercera vez despido inmediato como está establecido en el código del trabajo: Son causas justas que
facultan al patrono para dar por terminado el contrato de responsabilidad de su parte:
a. La negativa manifiesta y reintegrada del trabajador de no adoptar las medidas preventivas
o a seguir los procedimientos indicados para evitar accidentes o enfermedades; o el no
acatar el trabajador en igual forma y en perjuicio del patrono, las normas que este o su
representante en la dirección de los trabajos le indiquen con claridad para obtener la mayor
eficacia y rendimiento en las labores que se están ejecutando.
13.5 FALTAS GRAVES a) Eliminar, destruir información sensible de la organización; sin la debida justificación o autorización.
b) Reincidencia en la utilización del servicio de internet para utilización de redes sociales, chat, video,
juegos en línea y herramientas de comunicación como correo electrónico; de manera irresponsable
(envío de fotografías de oficina, equipos, documentos, etc.)
c) Pérdida de un dispositivo USB donde transporta información confidencial o sensible de la institución.
d) Acceder a enlaces sospechosos en internet, como ser sitios pornográficos, redes sociales, películas
online, juegos y chat online.
e) Descargar archivos adjuntos de remitentes desconocidos.
f) No notificar inmediatamente cualquier sospecha de un incidente que atente la seguridad de la
información.
g) Reincidencia en la utilización inadecuada de los activos (teléfonos, computadoras, etc.) de la
organización.
SECRETARÍA DE COORDINACIÓN GENERAL DEL GOBIERNO
Código: SGCG-SI-MSIPSI-01 Versión 1.0
MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE LA INFORMACIÓN
P á g i n a 14 | 14
h) Mala utilización, abuso o fraude de portales en internet y/o electrónicos de acceso de la Secretaría de Coordinación General de Gobierno de acuerdo a funciones asignadas a cada puesto.
i) Descargar e instalar películas, juegos, o software no autorizado
13.6 SANCIONES GRAVES a) Primera vez acta de descargo y llamado de atención por escrito y suspensión de 8 días sin goce de
salario.
b) Segunda vez despido inmediato como está establecido en el código del trabajo: Son causas justas
que facultan al patrono para dar por terminado el contrato de responsabilidad de su parte:
a. cualquier violación grave de las obligación o prohibiciones o especiales que incuben al
trabajador, de acuerdo con los artículos 97 y 98 o cualquier falta grave calificada como
tal impactos o convenciones o colectivas, fallos arbítrales, contratos individuales o
reglamentos, siempre que el hecho esté debidamente comprobado y que en la
aplicación de la sanción se observe el respectivo procedimiento reglamentario o
convencional.
El manual de sanciones antes descrito es aprobado por:
_______________________________
__________________________________
Jorge Ramón Hernández Alcerro Julio Antonio Sierra Pineda Secretario Coordinador General de Gobierno Secretaría de Coordinación General de Gobierno
Jefe Recursos Humanos Secretaría de Coordinación General de Gobierno
_______________________________
Dennis Geovany Vásquez Zaldívar Jefe de Área de Sistemas de información Secretaría de Coordinación General de Gobierno