POLÍTICAS DE TECNOLOGÍAS DE INFORMACIÓN

Describe las políticas en DuocUC relacionadas a la adquisición, uso,

disposición y retiro de tecnologías de información en la institución

TABLA DE CONTENIDO

Contenido

Glosario ___________________________________________________________________________________________________ 1

Objetivo de la incorporacion de las Tecnologıas de Informacion en DuocUC ________________________ 3

Objetivo General ____________________________________________________________________________________________________ 3

Objetivos Específicos Y Alcance ____________________________________________________________________________________ 3

Del responsable De Crear Y Actualizar La Política TIC En DuocUC _________________________________________________ 3

Responsabilidad En El Uso De Las TICS _____________________________________________________________________________ 4

Propiedad De Los Activos Tecnológicos Y De La Información ______________________________________________________ 4

Del Hardware _____________________________________________________________________________________________ 5

Adquisición __________________________________________________________________________________________________________ 5

Asignación / Devolución / Renovación _____________________________________________________________________________ 5

Uso __________________________________________________________________________________________________________________ 6

Traslado _____________________________________________________________________________________________________________ 6

Mantenimiento _____________________________________________________________________________________________________ 6

Renovación Y Retiro_________________________________________________________________________________________________ 6

Del Software ______________________________________________________________________________________________ 8

Control y Auditoría __________________________________________________________________________________________________ 8

Prohibiciones _______________________________________________________________________________________________________ 9

Sanciones ___________________________________________________________________________________________________________ 9

Sistemas Operativos ________________________________________________________________________________________________ 9

Ofimática ____________________________________________________________________________________________________________ 9

Necesidad De Las Escuelas _________________________________________________________________________________________ 9

Instalación – Desinstalación _______________________________________________________________________________________ 10

De Las Plataformas _____________________________________________________________________________________ 11

Requerimientos De Las Escuelas __________________________________________________________________________________ 11

Plataformas De Terceros ___________________________________________________________________________________________ 11

De La Seguridad De La Informacion___________________________________________________________________ 12

Los Activos de Información ________________________________________________________________________________________ 12

TABLA DE CONTENIDO

Manejo, Protección y Respaldo de Información __________________________________________________________________ 12

Accesos, Roles y Perfiles ___________________________________________________________________________________________ 13

Contraseñas Y Credenciales _______________________________________________________________________________________ 13

Riesgos e Incidentes de Seguridad ________________________________________________________________________________ 13

Delitos Informáticos _______________________________________________________________________________________________ 14

Protección Frente A Software Malicioso __________________________________________________________________________ 14

Seguridad En El Desarrollo De SW De Aplicaciones _______________________________________________________________ 15

De Los Aplicativos Que Soportan La Gestion Academica - Administrativa _________________________ 16

Ciclo De Vida _______________________________________________________________________________________________________ 16

Gobierno del Proceso De Gestión De La Demanda _______________________________________________________________ 16

Desarrollo De Aplicaciones, Desarrollo De Nuevos Módulos Sobre Aplicaciones Existentes ____________________ 17

Mantenimiento Evolutivo/Correctivo/Adaptativo/Perfectivo DE APLICACIONES DE NEGOCIO __________________ 17

Del Proceso de Control de Cambios a Ambientes Productivos ______________________________________ 19

¿Qué Es Un Control De Cambios? _________________________________________________________________________________ 19

Roles Asociados Al Control De Cambios ___________________________________________________________________________ 19

Tipos De Controles De Cambio ____________________________________________________________________________________ 19

Que Es El DRP (Disaster Recovery PLan) ___________________________________________________________________________ 20

RTO y RPO __________________________________________________________________________________________________________ 20

Matriz de Riesgos De Servicios Basados En Tecnología ___________________________________________________________ 20

Riesgo Operacional, Mitigación y Riesgo Residual ________________________________________________________________ 20

Roles y Responsabilidades De Los Actores Claves Del DRP _______________________________________________________ 21

De La Continuidad de Procesos de Negocio (BCP) ___________________________________________________ 22

Que Es el BCP (Business Continuity Plan) _________________________________________________________________________ 22

Roles Asociados Al BCP ____________________________________________________________________________________________ 22

Responsabilidades De Los Actores Claves Del BCP ________________________________________________________________ 22

De Los Servicios Tecnologicos _________________________________________________________________________ 23

Mesa de Ayuda TI __________________________________________________________________________________________________ 23

Servicio De Impresión______________________________________________________________________________________________ 23

Servicio de Acceso a Internet ______________________________________________________________________________________ 23

TABLA DE CONTENIDO

Servicio De Correo Institucional Para Colaboradores y Docentes ________________________________________________ 23

Servicio de Telefonía _______________________________________________________________________________________________ 24

De La Evolucion Y Adopcion De La Tecnologıa _______________________________________________________ 25

El ITAC ______________________________________________________________________________________________________________ 25

Ámbitos De Acción _________________________________________________________________________________________________ 26

De Las Sanciones _______________________________________________________________________________________ 27

Informacion de contacto _______________________________________________________________________________ 28

Informacion de la organizacion _______________________________________________________________________ 28

Pagina 1

Glosario

Aplicación de Software: Es todo programa de software cuya finalidad o utilidad esta directamente orientada

hacia el usuario final. Ejemplo de ellos son la mayorıa de los programas con los que las personas interactuan,

como por ejemplo: las hojas de calculo, procesadores de texto, navegadores de internet, entre otras.

Equipo Móvil: Para solo efecto de esta polıtica, aparatos de tamano pequeno y portable, con capacidades de

procesamiento y almacenamiento de informacion, con conexion permanente o intermitente a una red, tales

como notebook y ultrabook.

Estacióndetrabajo: Es el computador que se le asigna a un colaborador o usuario, para su uso personal en

el lugar de trabajo.

Freeware: Modalidad de distribucion de software bajo una licencia que permite al usuario el uso gratuito, por

tiempo ilimitado.

Hardware: Conjunto de componentes que integran la parte material de un computador.

Hurto o pérdida: Evento que ocurre cuando el equipamiento computacional no es habido producto de una

sustraccion sin violencia y/o por negligencia del colaborador al no asegurar el equipamiento.

Incidente de SeguridaddelaInformación: Un incidente de seguridad de la informacion se define como un

acceso, intento de acceso, uso, divulgacion, modificacion o destruccion no autorizada de informacion; un

impedimento en la operacion normal de las redes, sistemas o recursos informaticos; o cualquier otro acto que

implique una violacion a la Polıtica de Seguridad de la Informacion.

Licencia de Software: La licencia es un contrato a traves del cual el titular de los derechos sobre un software

original otorga al co-contratante el derecho de uso del mismo por un tiempo determinado y a su vez, establece

las reglas segun las cuales dicho software debera ser utilizado.

Programa Fuente: Programa escrito en lenguaje de alto nivel, que debe ser ensamblado, compilado o

interpretado antes de ejecutarse en la computadora.

Robo: Cuando ocurre sustraccion de un equipo computacional forzando las medidas de seguridad dispuestas

por el colaborador y/o el DuocUC.

Shareware o Trial: Modalidad de distribucion de software bajo una licencia que permite al usuario evaluar

de forma gratuita el producto, con maximo de tiempo o con ciertas restricciones en las funcionalidades.

Software: Conjunto de programas, instrucciones y reglas para ser usadas directa o indirectamente en un

computador, a fin de efectuar u obtener un determinado proceso o resultado.

Software o Aplicación Ilegal o Pirata: Software o aplicacion que ha sido alterado para ser utilizado sin pagar

la licencia a sus desarrolladores originales.

Pagina 2

Software Educacional: Software adquirido por DuocUC para ser utilizado por docentes y alumnos, para fines

academicos.

Software Comercial: Software adquirido por DuocUC para un fin distinto al academico.

Pagina 3

Objetivo de la incorporacion de las Tecnologıas de

Informacion en DuocUC

OBJETIVO GENERAL

Fundacion Instituto Profesional DUOC UC, DuocUC en adelante, ha definido su proyecto educativo como “el

marco conceptual que otorga sentido a las decisiones que se adoptan al interior de la institucion”. Este marco

considera al estudiante como el centro de la labor formativa, al educador como un modelo al servicio de la

verdad y del alumno y a los colaboradores como todas aquellas personas que colaboran y brindan soporte a

la entrega del servicio academico, administrando procesos y desarrollando funciones que favorezcan la

gestion de los docentes, directivos y finalmente estudiantes.

Del mismo modo DuocUC observa y analiza el cambio profundo y veloz que ha experimentado la sociedad,

donde las comunicaciones y la tecnologıa adquieren un papel relevante. Cambios que han tenido efectos

directos en la educacion superior, particularmente, en el proceso de ensenanza y en las caracterısticas que

debe incluir la formacion profesional y tecnica.

El presente documento de Polıtica General de Tecnologıas de Informacion y Comunicaciones (TIC en adelante)

en DuocUC tiene como objetivo general el establecer y guiar las conductas y comportamientos esperados por

toda la comunidad DuocUC (docentes y colaboradores) con el fin de conseguir que la adopcion de las

tecnologıas de la informacion y comunicaciones (TIC) tenga un proposito claro y definido en cuanto habilitar

y fortalecer el proceso de ensenanza-aprendizaje de nuestros estudiantes ası como de propiciar una gestion

de excelencia.

OBJETIVOS ESPECÍFICOS Y ALCANCE

Los objetivos especıficos de la Polıtica son los siguientes:

• Definir el marco de actuacion de docentes y colaboradores respecto la adopcion de las TIC

disponibles en DuocUC.

• Definir el ciclo de vida de las TIC.

• Definir los roles que le competen a las distintas personas respecto las TIC en DuocUC.

• Establecer las distintas dimensiones tecnologicas en las cuales es necesario definir los marcos de

actuacion.

DEL RESPONSABLE DE CREAR Y ACTUALIZAR LA POLÍTICA TIC EN DUOCUC

La Polıtica General de Tecnologıas de Informacion en DuocUC es un documento que debe ser desarrollado y

mantenido por la Direccion de Procesos y Tecnologıa (en adelante, DPT por sus siglas), previa aprobacion y

posterior publicacion de la Vicerrectorıa Economica y de Gestion de Duoc UC.

Pagina 4

RESPONSABILIDAD EN EL USO DE LAS TICS

Para todos los efectos de esta Polıtica se entendera por activo tecnológico todo aquel dispositivo fısico o

intangible que como parte fundamental de su esencia aparezca la presencia de una capacidad de

procesamiento o almacenamiento de datos, al cual se le reconozca valor por parte de DuocUC.

Complementariamente se considerara un activo de la información al conocimiento creado o adquirido por

DuocUC para realizar su mision, independientemente del mecanismo de soporte en el cual se encuentra

resguardado.

En base a lo anterior es responsabilidad de docentes y colaboradores lo siguiente:

i. Cuidar con esmero, como si fuera propio, aquellos activos tecnologicos y de la informacion que

DuocUC le entregue para habilitar o potenciar su aprendizaje o para desarrollar su labor.

ii. Utilizar los activos tecnologicos que DuocUC le entregue exclusivamente para los fines que ha sido

disenado.

iii. Adoptar la tecnologıa como un habilitador y/o potenciador para el proceso de ensenanza-

aprendizaje o para aumentar la productividad del trabajo. En lo que respecta a los activos

tecnologicos de uso personal (computadores, telefonos celulares, otros) que han sido asignados por

DuocUC esta permitido su uso para fines personales siempre y cuando dicho uso no este renido con

la Ley, con la moral ni las buenas costumbres ni contravenga el Reglamento Interno de Orden, Higiene

y Seguridad de DuocUC y no interfiera con la normal operacion de la organizacion.

iv. Informar a la autoridad pertinente cuando detecte que un activo tecnologico ha sido vulnerado, esta

en riesgo de serlo o esta siendo utilizado para fines distintos a los mencionados en esta Polıtica.

v. Respetar el principio que establece que se debe acceder a la informacion mınima requerida para

realizar la funcion encomendada.

PROPIEDAD DE LOS ACTIVOS TECNOLÓGICOS Y DE LA INFORMACIÓN

La propiedad de los activos tecnologicos y de la informacion entregados por DuocUC para docentes y

colaboradores, lo que incluye hardware y software, corresponde a DuocUC salvo en aquellos casos en que exista

una licencia de uso provista por terceras partes, en cuyo caso la propiedad sera de quien se establezca en dicha

licencia.

Adicionalmente, y segun se establece en la Polıtica de Propiedad Intelectual se establece que todo dato y/o

informacion que se recolecte, cree, procese, almacene, publique o destruya en cualquier activo tecnologico

dispuesto por DuocUC es propiedad de Fundacion Instituto Profesional DuocUC, salvo aquellos casos en que la

Ley chilena establezca algo distinto.

Pagina 5

Del Hardware

ADQUISICIÓN

Todo equipamiento computacional debe ser adquirido a traves de la DPT y de acuerdo a la polıtica de compras

establecida por DuocUC. Este equipamiento respondera al estandar establecido por la DPT, el cual debera ser

funcional a los requerimientos de las areas academicas y administrativas.

ASIGNACIÓN / DEVOLUCIÓN / RENOVACIÓN

Los requisitos de asignacion que debe cumplir una solicitud de equipamiento son:

• Validez: la solicitud debe ser emitida por una persona autorizada y que se hace responsable del

requerimiento.

• Consistencia: la solicitud debe ser aprobada en cuanto a formalidad y en cuanto a la pertinencia tecnica,

operacional y administrativa de la organizacion.

• Oportunidad: la solicitud debe ser generada con la suficiente anticipacion y debidamente coordinada

entre las partes involucradas

Para el caso de colaboradores existiran distintos eventos que pueden resultar en una asignacion, devolucion

o renovacion de equipo computacional, los cuales se encuentra regulados en distintas normas y

procedimientos. El siguiente cuadro establece el resultado asociado a cada uno de los eventos:

Evento Norma Procedimiento

Contratación de Colaborador

Asignación de Equipo Asignación de Equipo

Cambio Cargo Colaborador

Robo, hurto o pérdida de equipo

Asignación Temporal de equipo

Desvinculación de Colaborador

Devolución de Equipo Devolución de Equipo Cambio Cargo Colaborador

Término de Necesidad Temporal de equipo

Desgaste u obsolescencia de equipo Renovación de Equipo

Devolución de Equipo +

Asignación de Equipo

Pagina 6

Deterioro Irreparable

Proyecto de renovación de equipo

Sera responsabilidad de la DPT, en conjunto con la Direccion de Personas (en adelante DP, por sus siglas)

cuando corresponda, definir e implementar los procedimientos que se mencionan en el cuadro anterior.

USO

El uso que se debera dar al hardware provisto por DuocUC debera considerar siempre los siguientes

principios:

1. Estara circunscrito acorde a las funciones y responsabilidad del cargo, esto es en el contexto de la

funcion academica o administrativa que se designe.

2. Se realizara en el contexto del diseno del hardware, esto es respetando las funcionalidades,

protocolos de mantenimiento y operacion.

TRASLADO

El traslado de equipamiento informatico en sedes podra realizarse bajo la responsabilidad y autorizacion de

la respectiva area de servicios tecnologicos (denominada CETECOM). Previa verificacion de la orden de

traslado correspondiente, se debe tener en cuenta tomar todas las precauciones del traslado de equipamiento

fragil.

MANTENIMIENTO

El mantenimiento correctivo o preventivo se debera realizar por los especialistas que defina centralmente la

DPT y que implemente localmente las respectivas areas de servicios tecnologicos en sedes.

Complementariamente el hardware que se incorpore a DuocUC, debera contemplar las respectivas garantıas,

garantıas extendidas o servicios de mantenimiento que aseguren la continuidad operacional del dispositivo

y el maximo desempeno durante la vida util del mismo.

RENOVACIÓN Y RETIRO

La renovacion de hardware es un proceso implementado por la DPT y que consiste en reemplazar aquellos

equipos que han alcanzado su vida util, u otro criterio tecnico debidamente documentado, por otros que

mantengan o mejoren las prestaciones de aquellos reemplazados.

El retiro de los equipos reemplazados es un proceso que consiste en descontinuar el servicio provisto por

dichos dispositivos y debe considerar tanto el retiro fısico como el respectivo tratamiento contable. Si el

equipamiento retirado es elegible para ser donado, esta donacion debe ser siempre a instituciones, nunca a

Pagina 7

personas naturales. La donacion se debe realizar bajo un documento que especifique que DuocUC dona el

equipo en el estado que esta es decir, sin software, sin mantenimiento, sin soporte y sin garantıa. Lo anterior

se debe realizar velando por el cumplimiento de lo establecido en la polıtica de activos fijos de la institucion.

Pagina 8

Del Software

Todo software que sea utilizado en la institucion, sea para fines academicos o administrativos, debera estar

debidamente licenciado.

DuocUC declara que hara un correcto uso de las licencias de software como una forma de respetar y cumplir

con la Ley 17.336 de Propiedad Intelectual, con las Leyes Tributarias, con las regulaciones propias del

mercado de software y con los acuerdos contractuales suscritos con los proveedores de Software.

Consecuentemente, DuocUC prohıbe en la Institucion el uso de Software ilegal (Software pirata) y de todo

Software sin el debido licenciamiento en los equipamientos de propiedad de DuocUC.

Para efectos de optimizar aspectos comerciales y de administracion, DuocUC distingue dos tipos de Software:

Software Comercial y Software Educacional.

DuocUC declara que el Software Educacional es un activo importante de la Institucion pues, administrado

adecuadamente, incide favorablemente en la experiencia educativa, agregando valor a los egresados de

DuocUC y aumentando su empleabilidad en el mercado laboral. Todo Software Educacional debera ser

identificado en la respectiva PIA (Programa Instruccional de la Asignatura) del curso que lo requiera como

una forma de propiciar la estandarizacion del modelo de aprendizaje entre las distintas sedes. El PIA es un

instrumento cuya definicion y cautela es responsabilidad exclusiva de la Vicerrectorıa Academica (VRA).

DuocUC declara que el Software Comercial es un activo importante de la Institucion pues, administrado

adecuadamente, incide favorablemente en lograr eficaz y eficientemente las tareas de los colaboradores y

docentes de DuocUC. Para garantizar lo anterior sera responsabilidad de las areas funcionales que usan dichos

software la identificacion de las necesidades de capacitacion o induccion que requieran los usuarios del

mismo. Para ello contaran con la colaboracion de la Direccion de Personas (en adelante DP) y la DPT.

DuocUC declara que la DPT es la responsable del control integral de la gestion de los activos de software dentro

de la Institucion. Asimismo, es responsable de implementar las polıticas, normas e instructivos

correspondientes e informar a las instancias formales cuando detecta incumplimientos.

DuocUC, a traves de la Vicerrectorıa Economica y de Gestion debe publicar y difundir las polıticas y normas

relacionadas con el uso de software y su licenciamiento, de tal forma que los colaboradores, docentes y

alumnos conozcan sus derechos, obligaciones, deberes y prohibiciones.

CONTROL Y AUDITORÍA

DuocUC, centralizadamente y por medio de la DPT, llevara un registro e inventario de claves y de los medios

de instalacion del software original en formato fısico y/o virtual segun corresponda.

Las funciones de administracion del software deben desarrollarse mediante roles y funciones especıficas y

segregadas, de tal forma de que existan validaciones implıcitas en los procedimientos operativos.

Pagina 9

PROHIBICIONES

DuocUC declara que esta prohibido para los usuarios lo siguiente:

• Usar software sin el correcto licenciamiento.

• Usar software que no cuente con las licencias de uso a nombre de DuocUC.

• Usar software tipo Freeware o Shareware o Trial, sin autorizacion de DuocUC.

• Usar licencias de software que excedan el lımite contratado de cantidad de licencias. Si se excede ese

lımite, DuocUC puede ser acusada de violacion de derechos de propiedad intelectual, segun la Ley N°

17.336.

• Usar software ilegal o pirata, pues constituye una actividad de comercio clandestino, pudiendo DuocUC

ser imputada en un grave delito tributario, aun mas grave que lo derivado por la violacion de la ley de

Propiedad Intelectual.

• Entregar el software Original o copia de este a colaboradores o terceros que no se encuentren autorizados,

sin que exista autorizacion, en forma expresa y por escrito, de la DPT.

SANCIONES

Las sanciones por el uso incorrecto o indebido del software disponible para el uso de colaboradores y docentes

de DuocUC, estan definidas y explıcitas en el Reglamento Interno de Orden, Higiene y Seguridad, en su artıculo

83 y siguientes ası como en el Reglamento Academico, segun corresponda.

Para el caso de proveedores externos con acceso a software de DuocUC, las sanciones por uso incorrecto o

indebido del software de la Institucion, deben estar definidas y explıcitas en los contratos de servicios con

dichos proveedores, lo cual le correspondera a la DPT incluirlo en los casos que corresponda.

SISTEMAS OPERATIVOS

La DPT definira los estandares de sistemas operativos disponibles en produccion dentro de la Institucion.

Quien desee actualizar un sistema operativo debera coordinarlo con la DPT, quienes velaran porque su

adopcion sea compatible con todas las aplicaciones (propias y de terceros) que son utilizadas para soportar

los procesos de ensenanza-aprendizaje o de gestion academica/administrativa.

OFIMÁTICA

La DPT define los estandares de aplicaciones de productividad en la oficina disponibles en la institucion.

Quien desee actualizar dichos software debera coordinarlo con la DPT, quienes velaran porque su adopcion

sea compatible con todas las aplicaciones (propias y de terceros) que son utilizadas para soportar los procesos

de ensenanza-aprendizaje o de gestion academica/administrativa.

NECESIDAD DE LAS ESCUELAS

Todo software o hardware que sea parte del proceso de ensenanza-aprendizaje debe estar formalizado por la

escuela a traves de los mecanismos que la Vicerrectorıa Academica establezca para ello (PIA o lo que le

Pagina 10

suceda). La DPT velara porque en sedes se usen estos softwares de manera que cualquier peticion de software

para fines academicos debe responder a esta logica de estandarizacion.

INSTALACIÓN – DESINSTALACIÓN

Solo CETECOM en Sedes y soporte central en Casa Central estan autorizados para instalar o desinstalar

software, quienes ademas velaran por la existencia del respectivo licenciamiento.

Pagina 11

De Las Plataformas

REQUERIMIENTOS DE LAS ESCUELAS

Las Escuelas son responsables de definir las plataformas, ası como las condiciones de uso de las mismas, para

los distintos ambientes de aprendizaje. Sin perjuicio de lo anterior, la DPT velara porque la incorporacion de

dichas plataformas se ajuste a las polıticas existentes y buenas practicas en su adopcion y mantenimiento.

PLATAFORMAS DE TERCEROS

La facultad de tomar una decision respecto incorporar una nueva plataforma de terceros es de la DPT. Para lo

anterior, los criterios que se deberan usar para orientar una decision son:

• Que tenga un sentido estrategico de dar soporte a uno o mas procesos de negocios de DuocUC.

• Que la evaluacion funcional, tecnica y economica sea favorable en adoptar una plataforma de terceros

respecto otras alternativas.

La implementacion de una plataforma de terceros debera cumplir con requisitos mınimos conforme al

estandar establecido por DuocUC, a saber:

• Los proveedores que implementen dichas plataformas deben estar validados tecnicamente por la

DPT, basado en referencias formales que permitan demostrar experiencia en el ambito del

requerimiento, casos de exito, certificaciones, entre otras.

• El soporte del aplicativo debe ser entregado por el proveedor en tiempo y forma segun lo convenido

con la DPT.

• Los activos de informacion que contengan estas plataformas seran de propiedad de DuocUC y podran

ser requeridos en el momento que sea necesario conforme a los niveles de servicio establecidos entre

la DPT y el proveedor., segun se establece en la polıtica de propiedad intelectual.

Pagina 12

De La Seguridad De La Informacion

LOS ACTIVOS DE INFORMACIÓN

La informacion adopta muchas formas, tanto, en los sistemas informaticos como fuera de ellos. Puede ser

almacenada (en dichos sistemas o en medios portatiles), transmitida (a traves de redes o entre sistemas) e

impresa o escrita en papel. Cada una de estas formas debe contemplar todas las medidas necesarias para

asegurar la confidencialidad, integridad y disponibilidad de la informacion.

Los Activos de Informacion son archivos y bases de datos, contratos y acuerdos, documentacion de sistemas,

manuales de los usuarios, material de formacion, aplicaciones de negocio, software del sistema, equipos

informaticos, equipo de comunicaciones, entre otros. La anterior es una lista a modo de referencia para la

mejor comprension y de ninguna forma es exhaustiva.

DuocUC posee informacion importante que desea proteger frente a cualquier situacion que suponga un riesgo

o amenaza. Todos los activos de la informacion deberan estar claramente identificados y debera mantenerse

en un inventario. El inventario debe mantenerse actualizado y al menos una vez al ano debera hacerse una

revision de dichos activos y riegos asociados, para adaptarlo tanto, a los nuevos requisitos de seguridad de la

informacion como los derivados por cambios legales, organizativos y/o tecnologicos. La responsabilidad por

crear, mantener y administrar este inventario es de la DPT.

MANEJO, PROTECCIÓN Y RESPALDO DE INFORMACIÓN

DuocUC debe mantener la confidencialidad, integridad y la disponibilidad de la informacion mediante

procedimientos rutinarios que soporten el resguardo y restauracion de la informacion de la Institucion,

registrando eventos de falla y monitoreando permanentemente el proceso.

Los procedimientos de respaldo de DuocUC, administrados y de responsabilidad de la DPT, deben considerar,

al menos, los siguientes controles:

• Las copias de seguridad deben almacenarse en un lugar seguro.

• Los dispositivos de respaldo deben ser probados regularmente, para asegurar que ellos pueden ser

de uso confiable ante una contingencia.

• Los procedimientos de restauracion de informacion deben ser revisados y probados regularmente

para asegurar que son efectivos.

• La informacion de respaldo debe contar con un nivel de proteccion fısica y del medio ambiente acorde

con los documentos: NOR-SI-05 Norma Seguridad Fısica y Control de Acceso a Sites.

• El perıodo de retencion de los respaldos de informacion de DuocUC debe cumplir con los requisitos

legales y plazos de conservacion que se le exijan, dependiendo de la naturaleza de la informacion.

• Se registraran los eventos y fallas ocurridas en los procesos de respaldo.

• DuocUC aplicara procedimientos formales de verificacion y validacion de restauracion de

informacion, con las autorizaciones respectivas.

• Deben existir procedimientos formales periodicos de pruebas de restauracion.

Pagina 13

La DPT velara porque estas directrices se cumplan propiciando el respaldo centralizado y proveyendo de

herramientas tecnologicas que permitan materializar esta polıtica.

ACCESOS, ROLES Y PERFILES

El acceso por medio de un sistema de restricciones y excepciones a la informacion es la base de todo sistema

de seguridad informatica. Para impedir el acceso no autorizado a los sistemas de informacion se deben

implementar procedimientos formales para controlar la asignacion de derechos de acceso a los sistemas de

informacion, bases de datos y servicios de informacion, y estos deben estar claramente documentados,

comunicados y controlados en cuanto a su cumplimiento.

Como polıtica de acceso a la informacion, DuocUC utilizara el Principio del Mınimo Privilegio, lo que significa

que:

• Cada colaborador tendra unica y exclusivamente aquellos privilegios necesarios para desarrollar sus

funciones.

• Se asignaran los privilegios en base a la clasificacion y responsabilidad de cada puesto de trabajo

individual (descripcion de cargo).

• Se debe garantizar la Segregacion de Funciones (SOD).

La responsabilidad por definir, implementar y mantener actualizado los accesos, roles y perfiles a los distintos

sistemas institucionales sera de la DPT, DDP y la respectiva Direccion Central, de Escuela o Sede que requiera

el uso de los mencionados sistemas.

CONTRASEÑAS Y CREDENCIALES

Las identificaciones de usuario y las contrasenas se utilizan para confirmar la identidad de un usuario en

todos los sistemas y dispositivos. Las identificaciones de usuario y las contrasenas tambien ayudan a

garantizar que los usuarios sean responsables por sus actividades en los sistemas a los que tengan acceso. Los

usuarios son responsables de cualquier actividad asociada con sus identificaciones de usuario y contrasenas.

Por ello deberan protegerlas y cumplir con lo establecido en el Reglamento Interno de Trabajo, Orden, Higiene

y Seguridad, artıculo 66 y posteriores.

RIESGOS E INCIDENTES DE SEGURIDAD

Un incidente de seguridad es cualquier anomalıa que afecte o pueda afectar a la seguridad de los datos,

entendida esta seguridad en los aspectos de confidencialidad, integridad, disponibilidad, identificacion y

autenticacion. Pueden ser tanto fısicas (fuego, inundacion, acceso no autorizado en zonas restringidas, otras)

como logicas (infeccion por virus, revelacion de contrasena, otras).

DetecciónyreportedeIncidentesdeSeguridaddelaInformación

Los colaboradores, y docentes de DuocUC deben estar atentos a los riesgos y vulnerabilidades que puedan

afectar la integridad, confidencialidad y disponibilidad de la informacion y reportar su ocurrencia tan pronto

Pagina 14

como sea posible. Sera responsabilidad de la DPT elaborar y publicar un “Instructivo de Gestion de incidentes”

en donde se describan los lineamentos para registrar, responder y divulgar la informacion necesaria

relacionada con los incidentes.

Cualquier usuario podra trasladar al Oficial de Seguridad de la Informacion de la DPT sugerencias y/o

debilidades, que pueda tener relacion con la seguridad de la informacion y las directrices contempladas en

las presentes polıticas. Para ello el Oficial de Seguridad de la Informacion comunicara el respectivo

instructivo.

GestióndeIncidentesyMejorasdelaSeguridaddelaInformación

De todo reporte de incidentes, la DPT debe establecer su criticidad para en coordinacion con el resto de las

Direcciones se de una solucion oportuna.

Deben establecerse responsabilidades e instructivos para manejar de mejor manera los eventos y debilidades

en la seguridad de la informacion una vez que han sido reportados, asimismo, debe existir un mejoramiento

continuo para las respuestas, monitoreandolas y evaluandolas.

DELITOS INFORMÁTICOS

Quienes incurren en conductas denominadas “hacking” (entre otras conductas) se exponen a riesgos legales

pues estas conductas pudieran encontrarse tipificadas como delito.

Para todos los efectos legales DuocUC declara que no son conductas aceptables ni aceptadas por la institución

y que quien las realice podra ser requerido judicialmente:

• La publicacion de informacion que vulnere la legislacion nacional o que este en contradiccion con la etica

tales como imagenes pornograficas, informacion homofobica, racista, clasista que pueda danar la

integridad o el honor de las personas, instituciones o creencias,

• La ejecucion de codigo malicioso, carga de archivos que contengan virus, “Troyanos”, gusanos, bombas de

tiempo, archivos danados, envıo de mail masivos (spam) o cualquier otro programa o software similar

que puedan perjudicar el funcionamiento de los equipos de DuocUC o propiedad de terceros y

• Cualquier intento de apropiacion de informacion de Bases de Datos institucionales o de privados

PROTECCIÓN FRENTE A SOFTWARE MALICIOSO

DuocUC debe asegurar que los controles de deteccion, prevencion y recuperacion para proteger la informacion

contra codigos maliciosos sean implementados en todas las areas de la Institucion. Los colaboradores,

docentes y alumnos deben reconocer la importancia de la implementacion de dichos controles y apoyar su

implementacion.

Las directrices establecidas en DuocUC para la proteccion frente a software malicioso seran descritas en la

“Norma Administracion de Antivirus DuocUC”.

Pagina 15

SEGURIDAD EN EL DESARROLLO DE SW DE APLICACIONES

AMBIENTES

Todas las aplicaciones que soportan los procesos de negocio de DuocUC requieren como mınimo la existencia

de ambientes independientes de desarrollo, pruebas y produccion. En caso de existir impedimentos para

dicha separacion, se deben definir controles compensatorios aprobados por la DPT.

Los datos de produccion que se utilicen en un entorno distinto deben ser adecuadamente asegurados y

protegidos, y su acceso debe ser limitado basado en clasificacion de informacion.

SEGURIDAD DE LOS SISTEMAS Y ARCHIVOS DE SISTEMAS

Cuando se desarrolle, adquiera o modifiquen sistemas que soportan procesos de negocio, los responsables

de dichos procesos de negocio deberan asegurar que se apliquen controles de seguridad adecuados de

acuerdo a la clasificacion de la informacion procesada y/o almacenada.

El acceso al codigo fuente de un programa, ası como a toda la documentacion asociada (diagramas de diseno,

especificaciones tecnicas, planes de prueba y validacion, etc.) debe estar estrictamente controlada para evitar

cambios no autorizados.

Para conseguir el objetivo indicado, es necesario poner en practica los siguientes lineamientos:

• Una vez que una aplicacion ha sido aceptada y ha pasado a ambiente de produccion, sus codigos

fuente y demas documentacion tecnica deben estar en un ambiente seguro y restringido de

modificaciones para todo el personal (incluyendo desarrolladores).

• Los codigos fuente de las aplicaciones no deben ser almacenados en el mismo servidor de produccion.

• Debe mantenerse un registro de auditorıa de todos los accesos realizados a los codigos fuente de las

aplicaciones.

• Nunca se deben realizar modificaciones directas en los codigos fuentes de las aplicaciones en

produccion, de modo que todo cambio debe ser realizado sobre una copia y probado en un ambiente

distinto al de produccion.

Pagina 16

De Los Aplicativos Que Soportan La Gestion Academica -

Administrativa

CICLO DE VIDA

Las aplicaciones tecnologicas que soportan la gestion academica y administrativa de los procesos de negocio

de DuocUC deben responder a un ciclo de vida que considere al menos lo siguiente:

• Adquisicion o Desarrollo: como resultado de un proceso de mejoramiento de un proceso de negocio

o de la implementacion de uno nuevo.

• Adopcion: proceso de aseguramiento que la aplicacion cumple con los requisitos de negocio y que las

personas que tienen roles asociados a su explotacion conocen y entienden para que y como funciona.

• Mantenimiento: proceso que permite garantizar que el valor de la aplicacion se mantiene o mejora

en el tiempo.

• Retiro o reemplazo: proceso planificado que permite retirar o reemplazar una aplicacion cuando el

beneficio marginal aportado sea inferior el costo de mantenimiento o cuando su operacion presente

riesgos no mitigables o aceptables por DuocUC.

Sera responsabilidad de la DPT administrar y gestionar el ciclo de vida completo de las aplicaciones de

negocio con excepcion de la fase de Adopcion, cuya responsabilidad recaera en el area de negocio duena del

proceso o de la aplicacion en cuestion.

GOBIERNO DEL PROCESO DE GESTIÓN DE LA DEMANDA

La Gestion de la Demanda constituye un modelo que acerca a la DPT con el Negocio, incorporando

metodologıas de evaluacion y analisis estrategico en las etapas iniciales de un requerimiento de incorporacion

de tecnologıa en algun proceso o servicio de negocio, aplicando mecanismos de evaluacion que permiten

focalizar los esfuerzos en aquellas oportunidades que agregan valor al negocio.

Los requerimientos realizados a la DPT, estan asociados a:

• La solicitud de mantenimiento correctivo de los aplicativos de negocio.

• La solicitud de mantenimiento evolutivo/adaptativo/perfectivo de los aplicativos de negocio

• Desde el analisis de procesos de negocio, la definicion de un portafolio de mejora de procesos que

considere la implementacion de tecnologıas de informacion.

• Incorporacion de nuevos Servicios.

Las solicitudes deberan ser realizadas segun los mecanismos formales definidos por la DPT para estos efectos,

los cuales deberan cautelar que el proceso de decisiones este avalado por niveles de autoridad (Direccion

General, Central, Sede o Escuela) dependiendo del monto del desembolso involucrado.

Pagina 17

Este modelo debe considerar la utilizacion de herramientas de analisis que permitan evaluar las inversiones

de TI en funcion de su alineamiento con el Plan de Desarrollo Institucional, la gestion basada en procesos y

su correspondiente cumplimiento de las metas estrategicas del negocio.

DESARROLLO DE APLICACIONES, DESARROLLO DE NUEVOS MÓDULOS SOBRE APLICACIONES EXISTENTES

Toda aplicacion o nuevo modulo de una aplicacion existente que requiera ser desarrollada debera cumplir

con los siguientes requisitos:

• Debe ser financiada con presupuesto de inversiones y por tanto reconocida como un activo cuya

propiedad es de DuocUC. Por lo anterior la obtencion de financiamiento debe adherir el proceso que

DuocUC tenga implementado para dichos efectos.

• Todos los desembolsos necesarios para la implementacion de dicha aplicacion, deben considerarse

como parte del costo de la misma. Del mismo modo se deben reconocer los desembolsos de

mantenimiento comprometidos a futuro para efectos de confeccion de presupuestos durante la vida

util esperada de la misma.

• El desarrollo e implementacion de la aplicacion debe adherir a una metodologıa conocida y

documentada que garantice certeza en el resultado final del proyecto de desarrollo e

implementacion.

• Debe identificarse un responsable de negocio de la aplicacion ası como de los datos que ella produce

o modifica.

• Las decisiones tecnicas relacionadas al desarrollo de la nueva aplicacion o modulo son de exclusiva

competencia de la DPT.

MANTENIMIENTO EVOLUTIVO/CORRECTIVO/ADAPTATIVO/PERFECTIVO DE APLICACIONES DE NEGOCIO

El mantenimiento es un proceso mediante el cual DuocUC realiza acciones con el fin de mantener o mejorar

el valor de una aplicacion de negocio a traves del tiempo. Se definen 4 tipos de mantenimiento, a saber:

• Correctivo: permite corregir fallas, entendiendo como falla aquella situacion en la que la

funcionalidad del aplicativo esta impactada por una incidencia o el desempeno normal esta

degradado.

• Evolutivo: permite agregar nuevas funcionalidades a modulos ya existentes o mejorar las

funcionalidades existentes.

• Perfectivo: permite mejorar el desempeno de una funcionalidad existente o minimizar un riesgo

operacional.

• Adaptativo: permite adecuar una funcionalidad a cambios en el entorno, normalmente de origen

regulatorio.

Pagina 18

Para todos los efectos el mantenimiento se considera gasto operacional a menos que se pueda demostrar que

dicho mantenimiento aumenta el valor del activo en cuyo caso podra financiarse con inversiones.

En el entendido que los recursos son limitados, sera responsabilidad de la DPT y de los respectivos duenos de

las aplicaciones priorizar el trabajo de mantenimiento velando por el buen uso de los recursos y basado

siempre en criterios objetivos de impacto y beneficio.

Las decisiones tecnicas relacionadas al mantenimiento de las aplicaciones de negocio son de exclusiva

competencia de la DPT

Pagina 19

Del Proceso de Control de Cambios a Ambientes

Productivos

¿QUÉ ES UN CONTROL DE CAMBIOS?

El Control de Cambios es un proceso mediante el cual se garantiza la continuidad de las plataformas

tecnologicas al momento de realizar mantenimientos o cambios en los ambientes productivos.

Sera responsabilidad de la DPT implementar un proceso de control de cambios que garantice la disponibilidad

y continuidad de los servicios prestados por la DPT ante este tipo de situaciones.

ROLES ASOCIADOS AL CONTROL DE CAMBIOS

En este proceso participan las siguientes figuras:

• El Solicitante del Cambio: es la persona o area que requiere la realizacion del cambio.

• El Gestor de Cambios: es la persona o area encargada de dar seguimiento a todo el proceso, a manera de

que sea de conocimiento de todos los interesados en que etapa se encuentra el proceso.

• El Ejecutor de Cambios: es normalmente la persona o el area de tecnologıa, quienes deben ser los unicos

autorizados a realizar modificaciones en el ambiente de produccion de una organizacion.

• Comité de Gestión de Cambios: es un cuerpo colegiado, donde se encuentran los representantes de las

areas relacionadas con los cambios tecnologicos que se realicen, usualmente esta conformado por la DPT,

seguridad de la informacion, auditorıa interna (si corresponde) y el Solicitante del Cambio. Sin perjuicio

de lo anterior se pueden integrar tantas personas como el Comite de Gestion de Cambios requiera. El

objetivo de este Comite es evaluar todos los elementos y requisitos para pasar algun producto o servicio

a produccion y garantizar la disponibilidad y continuidad de los servicios prestados. Este Comite debera

ser presidido por el Director de la DPT o quien el autorice.

TIPOS DE CONTROLES DE CAMBIO

Se definen dos tipos de control de cambio sobre las plataformas tecnologicas, estos son:

• Cambios Planificados: son aquellos cambios que debido a su naturaleza, se pueden realizar todas las

pruebas, validaciones y determinar el momento ideal para realizar el pase a produccion. Este tipo de

cambios caen bajo la supervision del Comite de Gestion de Cambios.

• Cambios No Planificados: son aquellas situaciones que, por fuerza mayor, no caen en la situacion anterior

y por tanto no pueden adherir al mencionado proceso. Este tipo de cambios debera ser autorizado por el

Director del area del Solicitante del Cambio y el Director de la DPT.

Pagina 20

Del Plan De Recuperacion Ante Desastres (DRP)

QUE ES EL DRP (DISASTER RECOVERY PLAN)

Un plan de recuperacion de desastres (DRP) describe como enfrenta una organizacion posibles desastres. Ası

como un desastre es un evento que imposibilita la continuacion de las funciones normales, un plan de

recuperacion de desastres se compone de las precauciones tomadas para que los efectos de un desastre se

reduzcan al mınimo y la Institucion sea capaz de mantener o reanudar rapidamente funciones de mision

crıtica.

RTO Y RPO

RPO (Recovery Point Objective): se refiere al volumen de datos en riesgo de perdida que la organizacion

considera tolerable. Responde a la pregunta ¿cuantas transacciones se esta dispuesto a perder o a tener que

reintroducir al sistema ante un desastre?

RTO (Recovery Time Objective): expresa el tiempo durante el cual la Institucion puede tolerar la falta de

funcionamiento de sus aplicaciones y la caıda de nivel de servicio asociada, sin afectar a la continuidad del

negocio. Responde a la pregunta ¿cuanto tiempo se puede mantener la operacion sin sistemas o con el sistema

degradado ante un desastre?

MATRIZ DE RIESGOS DE SERVICIOS BASADOS EN TECNOLOGÍA

Es una herramienta de control y de gestion que identifica los riesgos, la probabilidad de ocurrencia y el

impacto de ocurrencia asociados a la prestacion de los servicios provistos por la DPT. A diferencia del DRP

que es reactivo ante la ocurrencia de un desastre, la matriz de riesgos es una herramienta preventiva y que

reconoce riesgos en la prestacion de un servicio.

Sera responsabilidad de la DPT desarrollar y mantener actualizada la mencionada matriz de riesgos para los

distintos sistemas y servicios provistos por dicha organizacion, ası como de minimizar la probabilidad de

ocurrencia de los distintos riesgos.

RIESGO OPERACIONAL, MITIGACIÓN Y RIESGO RESIDUAL

Corresponde a una entrada de la matriz de riesgos mencionada en el parrafo anterior. Un riesgo se define

como la posibilidad de ocurrencia de un dano y como tal es intrınseco a toda actividad, que surge de la

exposicion y la incertidumbre de probables eventos o cambios en las condiciones del negocio o de la economıa

que puedan impactar una actividad. La mitigacion corresponde al conjunto de actividades que permiten

minimizar la probabilidad de ocurrencia o del impacto del riesgo. Finalmente el riesgo residual corresponde

a la evaluacion final resultante de aplicar la mitigacion al riesgo inicialmente identificado.

Pagina 21

ROLES Y RESPONSABILIDADES DE LOS ACTORES CLAVES DEL DRP

Es responsabilidad de la DPT desarrollar y mantener actualizada la matriz de riesgos de todos los servicios

que presta al negocio ası como desarrollar las mitigaciones necesarias con el fin de mantener el riesgo residual

bajo parametros compatibles con los niveles de servicio comprometidos con el negocio.

Del mismo modo sera responsabilidad de la DPT disenar, implementar, probar y mantener actualizado el DRP.

Finalmente sera responsabilidad de las respectivas areas de negocio servidas por la DPT entregar los

parametros de operacion del servicio (dimensiones de calidad y niveles de servicio) ası como los

requerimientos de RTO y RPO.

Pagina 22

De La Continuidad de Procesos de Negocio (BCP)

QUE ES EL BCP (BUSINESS CONTINUITY PLAN)

El Plan de Continuidad de Negocio es un proceso documentado que permite a la Institucion recuperar la

operacion de los procesos crıticos ante la indisponibilidad declarada de los sistemas y servicios provistos por

la DPT, mediante la aplicacion de un conjunto de medidas organizadas con las cuales es posible cumplir con

los objetivos y compromisos de la organizacion, sin tener la necesidad de interrumpir las operaciones y

procesos manteniendo niveles de calidad de los servicios y productos.

En los planes asociados al BCP, se deben considerar 4 ejes:

1. Personas: Preservar la vida de las personas.

2. Viabilidad - Continuidad de los negocios: Preservar la capacidad de mantener actividad en el proceso

de ensenanza-aprendizaje y procesos de apoyo.

3. Proteger Ingresos/Ganancias: Proteger los compromisos financieros de la companıa.

4. Proteger la Marca: Evitar la reprobacion y perdida de credibilidad publica.

ROLES ASOCIADOS AL BCP

• Direccion Ejecutiva (DE).

• Duenos de Procesos y/o Lıderes de areas de negocio.

RESPONSABILIDADES DE LOS ACTORES CLAVES DEL BCP

La DE y Duenos de Procesos y/o Lıderes de areas de negocio deberan:

• Definir y dotar el proceso de BCP (recursos humanos, financieros y tecnologicos).

• Definir el responsable de del BCP a nivel organizacional (conocido como BCM por sus siglas de Business

Continuity Manager).

• Validar y aprobar el BCP incluyendo el proceso de toma de decisiones.

• Establecer los canales de comunicacion del BCP a nivel de toda la organizacion.

La responsabilidad por la gestion y el mantenimiento del BCP recae en los Duenos de Procesos y/o lıderes de

las areas de negocio quienes se hacen cargo de que sus procesos sean resistentes frente a interrupciones.

Pagina 23

De Los Servicios Tecnologicos

MESA DE AYUDA TI

La Mesa de Ayuda TI es un servicio provisto por la DPT que administra el proceso de resolucion de incidentes

y requerimientos que esten en su catalogo de servicios y que, por su naturaleza, son predominantemente de

ındole tecnologico. Es por tanto el canal formal para el reporte de este tipo de interacciones.

SERVICIO DE IMPRESIÓN

El servicio se entrega directamente en cada sede a traves del area tecnologica respectiva. La DPT en conjunto

con el area de servicios tecnologicos en sede, velaran por el buen y racional uso de los recursos.

SERVICIO DE ACCESO A INTERNET

La DPT disena el servicio de acceso a internet a la comunidad DuocUC, teniendo como prioridad su uso

academico. Para que dicho servicio se materialice requiere el trabajo colaborativo de la DPT y las respectivas

areas de servicios tecnologicos en sedes.

Por lo anterior es fundamental que los usuarios conozcan y respeten las condiciones bajo las cuales pueden

utilizar las herramientas informaticas que les proporciona la Institucion, como el caso del acceso a internet,

para disminuir los riesgos a que se expone ante un mal uso.

SERVICIO DE CORREO INSTITUCIONAL PARA COLABORADORES Y DOCENTES

Los colaboradores y docentes de DuocUC deben asumir que los sistemas de comunicaciones electronicas, tales

como Internet, correo electronico, telefonıa IP, mensajerıa instantanea y otros similares, tecnicamente no

garantizan confidencialidad, aunque se dirijan a un destinatario especıfico y su emisor tenga una expectativa

de privacidad y seguridad.

Todos los sistemas de comunicaciones electronicas que forman parte de la infraestructura de DuocUC, como

Internet y correo electronico, son de su propiedad y uso exclusivo. El uso de Internet y del correo electronico

de DuocUC debe limitarse para actividades y contenidos relacionados con la Institucion, es decir, como

herramientas de uso comercial, de produccion o referido al negocio.

El Reglamento Interno de Trabajo, Orden, Higiene y Seguridad establece las conductas, prohibiciones y

sanciones relacionadas con estas herramientas de trabajo.

Complementando lo anterior, la DPT debera:

• Gestionar y programar los cambios de contrasenas en las cuentas de correo electronico de todos los

colaboradores de DuocUC de acuerdo a la polıtica vigente.

• Realizar los respaldos de correo electronico de la Institucion.

• Especificar el tamano de las casillas de correo electronico para la recepcion de mensajes y demas

restricciones tecnicas sobre peso o formato de archivos que se transmitan, velando por mantener la

Pagina 24

estabilidad de la red y evitar la perdida de informacion. Se podran establecer tamanos diferentes o

cambiar los establecidos segun las necesidades, roles y funciones de los colaboradores.

Si un colaborador o docente de DuocUC se ausenta temporalmente de la Institucion, ya sea por vacaciones,

licencias medicas u otras razones, debera dejar su correo electronico configurado con una respuesta

automatica que comunique su ausencia por un perıodo determinado, especificando fechas e indicando los

datos y direccion de correo electronico de la persona que lo reemplaza.

En caso de renuncia o desvinculacion de un colaborador o docente de DuocUC, la DPT, luego de ser informada

por la DDP, debera deshabilitar la correspondiente cuenta de correo electronico y debera configurar una

respuesta automatica que informe que el colaborador ya no pertenece a la Institucion, indicando los datos de

contacto de la persona que lo reemplaza.

Asimismo, la DPT debe deshabilitar todos los derechos de acceso a los sistemas de redes sociales (Facebook,

Twitter, LinkedIn, etc.) de DuocUC en el caso que corresponda.

El contenido de las casillas de correo de los colaboradores o docentes desvinculados de DuocUC, se debe

respaldar y, a continuacion, se debe eliminar del sistema la correspondiente casilla de correo, esto con el fin

de impedir que exista la posibilidad de continuar con el uso posterior al evento de desvinculacion.

El respaldo de la casilla de correo del colaborador desvinculado se almacenara por dos anos.

SERVICIO DE TELEFONÍA

DuocUC pone a disposicion de sus colaboradores y docentes el servicio de telefonıa fija y movil. Las

condiciones de acceso y uso de los servicios de telefonıa movil se establecen en la Polıtica de Telefonıa Movil

la cual es mantenida y publicada por la Direccion de Personas.

Sin perjuicio de lo anterior se entiende que ambos servicios, fija y movil, son provistos por DuocUC como una

herramienta de apoyo para la eficiente prestacion de las funciones academicas y/o administrativas y por tanto

su uso debe ajustarse al reglamento, ası como respetar las leyes chilenas. El uso de estos servicios para fines

personales esta permitido en la medida que no comprometa o interfiera con los objetivos operacionales o en

la imagen de DuocUC.

Pagina 25

De La Evolucion Y Adopcion De La Tecnologıa

EL ITAC

Debido al dinamismo que muestran las Tecnologıas de la Informacion y Comunicaciones es un imperativo

para DuocUC asegurar que los activos de informacion se mantienen productivos y vigentes a traves del tiempo.

Para ello es necesario formalizar un proceso permanente de revision del estado de las tecnologıas (emergente,

consolidada o en declinacion) ası como de su adopcion en la organizacion de manera de asegurar que el valor

que prestan se mantenga o acreciente en el tiempo.

El ITAC (Information Technology Architecture Council) es el organo, al interior de la DPT, que cumple el rol de

ser la instancia consultiva y declarativa respecto de las diferentes dimensiones de las tecnologıas de

informacion que soportan los procesos academicos, administrativos y de gestion. En su constitucion declara

diferentes comites para generar el gobierno suficiente y la mecanica necesaria para cumplir el rol definido,

priorizarlo y alinearlo a la Estrategia Institucional, para esto se crean los siguientes comites:

1. Comite Arquitectura Capa de Presentacion

Objetivo: Definir la arquitectura de la capa de Presentacion de aplicaciones (look and feel), estableciendo las

directrices que todo aplicativo requerira, persiguiendo con esto una vista homogenea para nuestros usuarios

Alumnos, Docentes y Administrativos.

2. Comite Arquitectura Aplicativa

Objetivo: Definir la arquitectura Aplicativa, considerando tecnologıas que integren la flexibilidad requerida

por nuestros Alumnos, Docentes y Administrativos, en plataformas moviles y web, asegurando la coherencia

funcional, buscando la unicidad de los datos e integrando esta sobre la plataforma definida para Bases de

Datos y Servidores.

3. Comite Arquitectura de Base de Datos

Objetivo: Definir la arquitectura de Base de Datos, para ERP (SAP) y aplicativos internos integrando una

solucion robusta para el activo principal de nuestra Institucion, la Informacion.

4. Comite Arquitectura de Servidores

Objetivo: Definir la arquitectura de Servidores, considerando las nuevas tecnologıas On Premise y Cloud, para

los ambientes que requiere la plataforma aplicativa siendo esta robusta y consistente con la demanda de

nuestros Alumnos, Docentes y Administrativos.

5. Comite Arquitectura de Red

Objetivo: Definir la arquitectura de red, que potencie y estabilice el recurso de cara a nuestros alumnos,

docentes y colaboradores, siendo esta una arquitectura flexible, disponible, robusta y estabilizada en la

Institucion.

Adicionalmente se establece que las tecnologıas en el ambito de la educacion (LMS, flipped classroom, otras)

estan fuera del alcance del ITAC siendo responsabilidad de la Vicerrectorrıa Academica (VRA) su definicion y

Pagina 26

adopcion. Sin perjuicio de lo anterior, la DPT debera velar por la prestacion de los servicios de desarrollo,

integracion, implementacion y soporte que sean acordados con la VRA.

ÁMBITOS DE ACCIÓN

El ITAC definira estandares de tecnologıas de informacion para el apoyo del funcionamiento de la institucion.

Los estandares pueden incluir hardware, software, las clasificaciones y definiciones de nivel de habilitacion,

la terminologıa, y otros artıculos que se consideren apropiadas. El ITAC sera responsable de conceder las

excepciones que permiten la instalacion de tecnologıa de instruccion no estandar.

Pagina 27

De Las Sanciones

Las sanciones por incumplimiento de las normas sobre asignacion, devolucion, robo, hurto, perdida y

renovacion de equipamiento computacional sera objeto de la investigacion respectiva a fin de determinar las

posibles responsabilidades que se puedan generar, de acuerdo a lo dispuesto en el instructivo sobre

investigaciones sumarias, de la Direccion Jurıdica y aplicadas las sanciones contenidas en el Reglamento

Interno de, Orden, Higiene y Seguridad y demas que sean aplicables al efecto.

Pagina 28

Informacion de contacto

GUILLERMO MAUREIRA I. DIRECTOR DE PROCESOS Y TECNOLOGÍA

Tel. +56 9 82284884

gmaureira@duoc.cl

Informacion de la organizacion

FundaciónInstitutoProfesionalDuocUC

Avenida Eliodoro Yanez 1595, Providencia, Santiago de Chile

Tel.+56 9 82284884

www.duoc.cl