POLÍTICAS DE TECNOLOGÍAS DE INFORMACIÓNobservatorio.duoc.cl/sites/default/files/politica... ·...
Transcript of POLÍTICAS DE TECNOLOGÍAS DE INFORMACIÓNobservatorio.duoc.cl/sites/default/files/politica... ·...
POLÍTICAS DE TECNOLOGÍAS DE INFORMACIÓN
Describe las políticas en DuocUC relacionadas a la adquisición, uso,
disposición y retiro de tecnologías de información en la institución
TABLA DE CONTENIDO
Contenido
Glosario ___________________________________________________________________________________________________ 1
Objetivo de la incorporacion de las Tecnologıas de Informacion en DuocUC ________________________ 3
Objetivo General ____________________________________________________________________________________________________ 3
Objetivos Específicos Y Alcance ____________________________________________________________________________________ 3
Del responsable De Crear Y Actualizar La Política TIC En DuocUC _________________________________________________ 3
Responsabilidad En El Uso De Las TICS _____________________________________________________________________________ 4
Propiedad De Los Activos Tecnológicos Y De La Información ______________________________________________________ 4
Del Hardware _____________________________________________________________________________________________ 5
Adquisición __________________________________________________________________________________________________________ 5
Asignación / Devolución / Renovación _____________________________________________________________________________ 5
Uso __________________________________________________________________________________________________________________ 6
Traslado _____________________________________________________________________________________________________________ 6
Mantenimiento _____________________________________________________________________________________________________ 6
Renovación Y Retiro_________________________________________________________________________________________________ 6
Del Software ______________________________________________________________________________________________ 8
Control y Auditoría __________________________________________________________________________________________________ 8
Prohibiciones _______________________________________________________________________________________________________ 9
Sanciones ___________________________________________________________________________________________________________ 9
Sistemas Operativos ________________________________________________________________________________________________ 9
Ofimática ____________________________________________________________________________________________________________ 9
Necesidad De Las Escuelas _________________________________________________________________________________________ 9
Instalación – Desinstalación _______________________________________________________________________________________ 10
De Las Plataformas _____________________________________________________________________________________ 11
Requerimientos De Las Escuelas __________________________________________________________________________________ 11
Plataformas De Terceros ___________________________________________________________________________________________ 11
De La Seguridad De La Informacion___________________________________________________________________ 12
Los Activos de Información ________________________________________________________________________________________ 12
TABLA DE CONTENIDO
Manejo, Protección y Respaldo de Información __________________________________________________________________ 12
Accesos, Roles y Perfiles ___________________________________________________________________________________________ 13
Contraseñas Y Credenciales _______________________________________________________________________________________ 13
Riesgos e Incidentes de Seguridad ________________________________________________________________________________ 13
Delitos Informáticos _______________________________________________________________________________________________ 14
Protección Frente A Software Malicioso __________________________________________________________________________ 14
Seguridad En El Desarrollo De SW De Aplicaciones _______________________________________________________________ 15
De Los Aplicativos Que Soportan La Gestion Academica - Administrativa _________________________ 16
Ciclo De Vida _______________________________________________________________________________________________________ 16
Gobierno del Proceso De Gestión De La Demanda _______________________________________________________________ 16
Desarrollo De Aplicaciones, Desarrollo De Nuevos Módulos Sobre Aplicaciones Existentes ____________________ 17
Mantenimiento Evolutivo/Correctivo/Adaptativo/Perfectivo DE APLICACIONES DE NEGOCIO __________________ 17
Del Proceso de Control de Cambios a Ambientes Productivos ______________________________________ 19
¿Qué Es Un Control De Cambios? _________________________________________________________________________________ 19
Roles Asociados Al Control De Cambios ___________________________________________________________________________ 19
Tipos De Controles De Cambio ____________________________________________________________________________________ 19
Que Es El DRP (Disaster Recovery PLan) ___________________________________________________________________________ 20
RTO y RPO __________________________________________________________________________________________________________ 20
Matriz de Riesgos De Servicios Basados En Tecnología ___________________________________________________________ 20
Riesgo Operacional, Mitigación y Riesgo Residual ________________________________________________________________ 20
Roles y Responsabilidades De Los Actores Claves Del DRP _______________________________________________________ 21
De La Continuidad de Procesos de Negocio (BCP) ___________________________________________________ 22
Que Es el BCP (Business Continuity Plan) _________________________________________________________________________ 22
Roles Asociados Al BCP ____________________________________________________________________________________________ 22
Responsabilidades De Los Actores Claves Del BCP ________________________________________________________________ 22
De Los Servicios Tecnologicos _________________________________________________________________________ 23
Mesa de Ayuda TI __________________________________________________________________________________________________ 23
Servicio De Impresión______________________________________________________________________________________________ 23
Servicio de Acceso a Internet ______________________________________________________________________________________ 23
TABLA DE CONTENIDO
Servicio De Correo Institucional Para Colaboradores y Docentes ________________________________________________ 23
Servicio de Telefonía _______________________________________________________________________________________________ 24
De La Evolucion Y Adopcion De La Tecnologıa _______________________________________________________ 25
El ITAC ______________________________________________________________________________________________________________ 25
Ámbitos De Acción _________________________________________________________________________________________________ 26
De Las Sanciones _______________________________________________________________________________________ 27
Informacion de contacto _______________________________________________________________________________ 28
Informacion de la organizacion _______________________________________________________________________ 28
Pagina 1
Glosario
Aplicación de Software: Es todo programa de software cuya finalidad o utilidad esta directamente orientada
hacia el usuario final. Ejemplo de ellos son la mayorıa de los programas con los que las personas interactuan,
como por ejemplo: las hojas de calculo, procesadores de texto, navegadores de internet, entre otras.
Equipo Móvil: Para solo efecto de esta polıtica, aparatos de tamano pequeno y portable, con capacidades de
procesamiento y almacenamiento de informacion, con conexion permanente o intermitente a una red, tales
como notebook y ultrabook.
Estacióndetrabajo: Es el computador que se le asigna a un colaborador o usuario, para su uso personal en
el lugar de trabajo.
Freeware: Modalidad de distribucion de software bajo una licencia que permite al usuario el uso gratuito, por
tiempo ilimitado.
Hardware: Conjunto de componentes que integran la parte material de un computador.
Hurto o pérdida: Evento que ocurre cuando el equipamiento computacional no es habido producto de una
sustraccion sin violencia y/o por negligencia del colaborador al no asegurar el equipamiento.
Incidente de SeguridaddelaInformación: Un incidente de seguridad de la informacion se define como un
acceso, intento de acceso, uso, divulgacion, modificacion o destruccion no autorizada de informacion; un
impedimento en la operacion normal de las redes, sistemas o recursos informaticos; o cualquier otro acto que
implique una violacion a la Polıtica de Seguridad de la Informacion.
Licencia de Software: La licencia es un contrato a traves del cual el titular de los derechos sobre un software
original otorga al co-contratante el derecho de uso del mismo por un tiempo determinado y a su vez, establece
las reglas segun las cuales dicho software debera ser utilizado.
Programa Fuente: Programa escrito en lenguaje de alto nivel, que debe ser ensamblado, compilado o
interpretado antes de ejecutarse en la computadora.
Robo: Cuando ocurre sustraccion de un equipo computacional forzando las medidas de seguridad dispuestas
por el colaborador y/o el DuocUC.
Shareware o Trial: Modalidad de distribucion de software bajo una licencia que permite al usuario evaluar
de forma gratuita el producto, con maximo de tiempo o con ciertas restricciones en las funcionalidades.
Software: Conjunto de programas, instrucciones y reglas para ser usadas directa o indirectamente en un
computador, a fin de efectuar u obtener un determinado proceso o resultado.
Software o Aplicación Ilegal o Pirata: Software o aplicacion que ha sido alterado para ser utilizado sin pagar
la licencia a sus desarrolladores originales.
Pagina 2
Software Educacional: Software adquirido por DuocUC para ser utilizado por docentes y alumnos, para fines
academicos.
Software Comercial: Software adquirido por DuocUC para un fin distinto al academico.
Pagina 3
Objetivo de la incorporacion de las Tecnologıas de
Informacion en DuocUC
OBJETIVO GENERAL
Fundacion Instituto Profesional DUOC UC, DuocUC en adelante, ha definido su proyecto educativo como “el
marco conceptual que otorga sentido a las decisiones que se adoptan al interior de la institucion”. Este marco
considera al estudiante como el centro de la labor formativa, al educador como un modelo al servicio de la
verdad y del alumno y a los colaboradores como todas aquellas personas que colaboran y brindan soporte a
la entrega del servicio academico, administrando procesos y desarrollando funciones que favorezcan la
gestion de los docentes, directivos y finalmente estudiantes.
Del mismo modo DuocUC observa y analiza el cambio profundo y veloz que ha experimentado la sociedad,
donde las comunicaciones y la tecnologıa adquieren un papel relevante. Cambios que han tenido efectos
directos en la educacion superior, particularmente, en el proceso de ensenanza y en las caracterısticas que
debe incluir la formacion profesional y tecnica.
El presente documento de Polıtica General de Tecnologıas de Informacion y Comunicaciones (TIC en adelante)
en DuocUC tiene como objetivo general el establecer y guiar las conductas y comportamientos esperados por
toda la comunidad DuocUC (docentes y colaboradores) con el fin de conseguir que la adopcion de las
tecnologıas de la informacion y comunicaciones (TIC) tenga un proposito claro y definido en cuanto habilitar
y fortalecer el proceso de ensenanza-aprendizaje de nuestros estudiantes ası como de propiciar una gestion
de excelencia.
OBJETIVOS ESPECÍFICOS Y ALCANCE
Los objetivos especıficos de la Polıtica son los siguientes:
• Definir el marco de actuacion de docentes y colaboradores respecto la adopcion de las TIC
disponibles en DuocUC.
• Definir el ciclo de vida de las TIC.
• Definir los roles que le competen a las distintas personas respecto las TIC en DuocUC.
• Establecer las distintas dimensiones tecnologicas en las cuales es necesario definir los marcos de
actuacion.
DEL RESPONSABLE DE CREAR Y ACTUALIZAR LA POLÍTICA TIC EN DUOCUC
La Polıtica General de Tecnologıas de Informacion en DuocUC es un documento que debe ser desarrollado y
mantenido por la Direccion de Procesos y Tecnologıa (en adelante, DPT por sus siglas), previa aprobacion y
posterior publicacion de la Vicerrectorıa Economica y de Gestion de Duoc UC.
Pagina 4
RESPONSABILIDAD EN EL USO DE LAS TICS
Para todos los efectos de esta Polıtica se entendera por activo tecnológico todo aquel dispositivo fısico o
intangible que como parte fundamental de su esencia aparezca la presencia de una capacidad de
procesamiento o almacenamiento de datos, al cual se le reconozca valor por parte de DuocUC.
Complementariamente se considerara un activo de la información al conocimiento creado o adquirido por
DuocUC para realizar su mision, independientemente del mecanismo de soporte en el cual se encuentra
resguardado.
En base a lo anterior es responsabilidad de docentes y colaboradores lo siguiente:
i. Cuidar con esmero, como si fuera propio, aquellos activos tecnologicos y de la informacion que
DuocUC le entregue para habilitar o potenciar su aprendizaje o para desarrollar su labor.
ii. Utilizar los activos tecnologicos que DuocUC le entregue exclusivamente para los fines que ha sido
disenado.
iii. Adoptar la tecnologıa como un habilitador y/o potenciador para el proceso de ensenanza-
aprendizaje o para aumentar la productividad del trabajo. En lo que respecta a los activos
tecnologicos de uso personal (computadores, telefonos celulares, otros) que han sido asignados por
DuocUC esta permitido su uso para fines personales siempre y cuando dicho uso no este renido con
la Ley, con la moral ni las buenas costumbres ni contravenga el Reglamento Interno de Orden, Higiene
y Seguridad de DuocUC y no interfiera con la normal operacion de la organizacion.
iv. Informar a la autoridad pertinente cuando detecte que un activo tecnologico ha sido vulnerado, esta
en riesgo de serlo o esta siendo utilizado para fines distintos a los mencionados en esta Polıtica.
v. Respetar el principio que establece que se debe acceder a la informacion mınima requerida para
realizar la funcion encomendada.
PROPIEDAD DE LOS ACTIVOS TECNOLÓGICOS Y DE LA INFORMACIÓN
La propiedad de los activos tecnologicos y de la informacion entregados por DuocUC para docentes y
colaboradores, lo que incluye hardware y software, corresponde a DuocUC salvo en aquellos casos en que exista
una licencia de uso provista por terceras partes, en cuyo caso la propiedad sera de quien se establezca en dicha
licencia.
Adicionalmente, y segun se establece en la Polıtica de Propiedad Intelectual se establece que todo dato y/o
informacion que se recolecte, cree, procese, almacene, publique o destruya en cualquier activo tecnologico
dispuesto por DuocUC es propiedad de Fundacion Instituto Profesional DuocUC, salvo aquellos casos en que la
Ley chilena establezca algo distinto.
Pagina 5
Del Hardware
ADQUISICIÓN
Todo equipamiento computacional debe ser adquirido a traves de la DPT y de acuerdo a la polıtica de compras
establecida por DuocUC. Este equipamiento respondera al estandar establecido por la DPT, el cual debera ser
funcional a los requerimientos de las areas academicas y administrativas.
ASIGNACIÓN / DEVOLUCIÓN / RENOVACIÓN
Los requisitos de asignacion que debe cumplir una solicitud de equipamiento son:
• Validez: la solicitud debe ser emitida por una persona autorizada y que se hace responsable del
requerimiento.
• Consistencia: la solicitud debe ser aprobada en cuanto a formalidad y en cuanto a la pertinencia tecnica,
operacional y administrativa de la organizacion.
• Oportunidad: la solicitud debe ser generada con la suficiente anticipacion y debidamente coordinada
entre las partes involucradas
Para el caso de colaboradores existiran distintos eventos que pueden resultar en una asignacion, devolucion
o renovacion de equipo computacional, los cuales se encuentra regulados en distintas normas y
procedimientos. El siguiente cuadro establece el resultado asociado a cada uno de los eventos:
Evento Norma Procedimiento
Contratación de Colaborador
Asignación de Equipo Asignación de Equipo
Cambio Cargo Colaborador
Robo, hurto o pérdida de equipo
Asignación Temporal de equipo
Desvinculación de Colaborador
Devolución de Equipo Devolución de Equipo Cambio Cargo Colaborador
Término de Necesidad Temporal de equipo
Desgaste u obsolescencia de equipo Renovación de Equipo
Devolución de Equipo +
Asignación de Equipo
Pagina 6
Deterioro Irreparable
Proyecto de renovación de equipo
Sera responsabilidad de la DPT, en conjunto con la Direccion de Personas (en adelante DP, por sus siglas)
cuando corresponda, definir e implementar los procedimientos que se mencionan en el cuadro anterior.
USO
El uso que se debera dar al hardware provisto por DuocUC debera considerar siempre los siguientes
principios:
1. Estara circunscrito acorde a las funciones y responsabilidad del cargo, esto es en el contexto de la
funcion academica o administrativa que se designe.
2. Se realizara en el contexto del diseno del hardware, esto es respetando las funcionalidades,
protocolos de mantenimiento y operacion.
TRASLADO
El traslado de equipamiento informatico en sedes podra realizarse bajo la responsabilidad y autorizacion de
la respectiva area de servicios tecnologicos (denominada CETECOM). Previa verificacion de la orden de
traslado correspondiente, se debe tener en cuenta tomar todas las precauciones del traslado de equipamiento
fragil.
MANTENIMIENTO
El mantenimiento correctivo o preventivo se debera realizar por los especialistas que defina centralmente la
DPT y que implemente localmente las respectivas areas de servicios tecnologicos en sedes.
Complementariamente el hardware que se incorpore a DuocUC, debera contemplar las respectivas garantıas,
garantıas extendidas o servicios de mantenimiento que aseguren la continuidad operacional del dispositivo
y el maximo desempeno durante la vida util del mismo.
RENOVACIÓN Y RETIRO
La renovacion de hardware es un proceso implementado por la DPT y que consiste en reemplazar aquellos
equipos que han alcanzado su vida util, u otro criterio tecnico debidamente documentado, por otros que
mantengan o mejoren las prestaciones de aquellos reemplazados.
El retiro de los equipos reemplazados es un proceso que consiste en descontinuar el servicio provisto por
dichos dispositivos y debe considerar tanto el retiro fısico como el respectivo tratamiento contable. Si el
equipamiento retirado es elegible para ser donado, esta donacion debe ser siempre a instituciones, nunca a
Pagina 7
personas naturales. La donacion se debe realizar bajo un documento que especifique que DuocUC dona el
equipo en el estado que esta es decir, sin software, sin mantenimiento, sin soporte y sin garantıa. Lo anterior
se debe realizar velando por el cumplimiento de lo establecido en la polıtica de activos fijos de la institucion.
Pagina 8
Del Software
Todo software que sea utilizado en la institucion, sea para fines academicos o administrativos, debera estar
debidamente licenciado.
DuocUC declara que hara un correcto uso de las licencias de software como una forma de respetar y cumplir
con la Ley 17.336 de Propiedad Intelectual, con las Leyes Tributarias, con las regulaciones propias del
mercado de software y con los acuerdos contractuales suscritos con los proveedores de Software.
Consecuentemente, DuocUC prohıbe en la Institucion el uso de Software ilegal (Software pirata) y de todo
Software sin el debido licenciamiento en los equipamientos de propiedad de DuocUC.
Para efectos de optimizar aspectos comerciales y de administracion, DuocUC distingue dos tipos de Software:
Software Comercial y Software Educacional.
DuocUC declara que el Software Educacional es un activo importante de la Institucion pues, administrado
adecuadamente, incide favorablemente en la experiencia educativa, agregando valor a los egresados de
DuocUC y aumentando su empleabilidad en el mercado laboral. Todo Software Educacional debera ser
identificado en la respectiva PIA (Programa Instruccional de la Asignatura) del curso que lo requiera como
una forma de propiciar la estandarizacion del modelo de aprendizaje entre las distintas sedes. El PIA es un
instrumento cuya definicion y cautela es responsabilidad exclusiva de la Vicerrectorıa Academica (VRA).
DuocUC declara que el Software Comercial es un activo importante de la Institucion pues, administrado
adecuadamente, incide favorablemente en lograr eficaz y eficientemente las tareas de los colaboradores y
docentes de DuocUC. Para garantizar lo anterior sera responsabilidad de las areas funcionales que usan dichos
software la identificacion de las necesidades de capacitacion o induccion que requieran los usuarios del
mismo. Para ello contaran con la colaboracion de la Direccion de Personas (en adelante DP) y la DPT.
DuocUC declara que la DPT es la responsable del control integral de la gestion de los activos de software dentro
de la Institucion. Asimismo, es responsable de implementar las polıticas, normas e instructivos
correspondientes e informar a las instancias formales cuando detecta incumplimientos.
DuocUC, a traves de la Vicerrectorıa Economica y de Gestion debe publicar y difundir las polıticas y normas
relacionadas con el uso de software y su licenciamiento, de tal forma que los colaboradores, docentes y
alumnos conozcan sus derechos, obligaciones, deberes y prohibiciones.
CONTROL Y AUDITORÍA
DuocUC, centralizadamente y por medio de la DPT, llevara un registro e inventario de claves y de los medios
de instalacion del software original en formato fısico y/o virtual segun corresponda.
Las funciones de administracion del software deben desarrollarse mediante roles y funciones especıficas y
segregadas, de tal forma de que existan validaciones implıcitas en los procedimientos operativos.
Pagina 9
PROHIBICIONES
DuocUC declara que esta prohibido para los usuarios lo siguiente:
• Usar software sin el correcto licenciamiento.
• Usar software que no cuente con las licencias de uso a nombre de DuocUC.
• Usar software tipo Freeware o Shareware o Trial, sin autorizacion de DuocUC.
• Usar licencias de software que excedan el lımite contratado de cantidad de licencias. Si se excede ese
lımite, DuocUC puede ser acusada de violacion de derechos de propiedad intelectual, segun la Ley N°
17.336.
• Usar software ilegal o pirata, pues constituye una actividad de comercio clandestino, pudiendo DuocUC
ser imputada en un grave delito tributario, aun mas grave que lo derivado por la violacion de la ley de
Propiedad Intelectual.
• Entregar el software Original o copia de este a colaboradores o terceros que no se encuentren autorizados,
sin que exista autorizacion, en forma expresa y por escrito, de la DPT.
SANCIONES
Las sanciones por el uso incorrecto o indebido del software disponible para el uso de colaboradores y docentes
de DuocUC, estan definidas y explıcitas en el Reglamento Interno de Orden, Higiene y Seguridad, en su artıculo
83 y siguientes ası como en el Reglamento Academico, segun corresponda.
Para el caso de proveedores externos con acceso a software de DuocUC, las sanciones por uso incorrecto o
indebido del software de la Institucion, deben estar definidas y explıcitas en los contratos de servicios con
dichos proveedores, lo cual le correspondera a la DPT incluirlo en los casos que corresponda.
SISTEMAS OPERATIVOS
La DPT definira los estandares de sistemas operativos disponibles en produccion dentro de la Institucion.
Quien desee actualizar un sistema operativo debera coordinarlo con la DPT, quienes velaran porque su
adopcion sea compatible con todas las aplicaciones (propias y de terceros) que son utilizadas para soportar
los procesos de ensenanza-aprendizaje o de gestion academica/administrativa.
OFIMÁTICA
La DPT define los estandares de aplicaciones de productividad en la oficina disponibles en la institucion.
Quien desee actualizar dichos software debera coordinarlo con la DPT, quienes velaran porque su adopcion
sea compatible con todas las aplicaciones (propias y de terceros) que son utilizadas para soportar los procesos
de ensenanza-aprendizaje o de gestion academica/administrativa.
NECESIDAD DE LAS ESCUELAS
Todo software o hardware que sea parte del proceso de ensenanza-aprendizaje debe estar formalizado por la
escuela a traves de los mecanismos que la Vicerrectorıa Academica establezca para ello (PIA o lo que le
Pagina 10
suceda). La DPT velara porque en sedes se usen estos softwares de manera que cualquier peticion de software
para fines academicos debe responder a esta logica de estandarizacion.
INSTALACIÓN – DESINSTALACIÓN
Solo CETECOM en Sedes y soporte central en Casa Central estan autorizados para instalar o desinstalar
software, quienes ademas velaran por la existencia del respectivo licenciamiento.
Pagina 11
De Las Plataformas
REQUERIMIENTOS DE LAS ESCUELAS
Las Escuelas son responsables de definir las plataformas, ası como las condiciones de uso de las mismas, para
los distintos ambientes de aprendizaje. Sin perjuicio de lo anterior, la DPT velara porque la incorporacion de
dichas plataformas se ajuste a las polıticas existentes y buenas practicas en su adopcion y mantenimiento.
PLATAFORMAS DE TERCEROS
La facultad de tomar una decision respecto incorporar una nueva plataforma de terceros es de la DPT. Para lo
anterior, los criterios que se deberan usar para orientar una decision son:
• Que tenga un sentido estrategico de dar soporte a uno o mas procesos de negocios de DuocUC.
• Que la evaluacion funcional, tecnica y economica sea favorable en adoptar una plataforma de terceros
respecto otras alternativas.
La implementacion de una plataforma de terceros debera cumplir con requisitos mınimos conforme al
estandar establecido por DuocUC, a saber:
• Los proveedores que implementen dichas plataformas deben estar validados tecnicamente por la
DPT, basado en referencias formales que permitan demostrar experiencia en el ambito del
requerimiento, casos de exito, certificaciones, entre otras.
• El soporte del aplicativo debe ser entregado por el proveedor en tiempo y forma segun lo convenido
con la DPT.
• Los activos de informacion que contengan estas plataformas seran de propiedad de DuocUC y podran
ser requeridos en el momento que sea necesario conforme a los niveles de servicio establecidos entre
la DPT y el proveedor., segun se establece en la polıtica de propiedad intelectual.
Pagina 12
De La Seguridad De La Informacion
LOS ACTIVOS DE INFORMACIÓN
La informacion adopta muchas formas, tanto, en los sistemas informaticos como fuera de ellos. Puede ser
almacenada (en dichos sistemas o en medios portatiles), transmitida (a traves de redes o entre sistemas) e
impresa o escrita en papel. Cada una de estas formas debe contemplar todas las medidas necesarias para
asegurar la confidencialidad, integridad y disponibilidad de la informacion.
Los Activos de Informacion son archivos y bases de datos, contratos y acuerdos, documentacion de sistemas,
manuales de los usuarios, material de formacion, aplicaciones de negocio, software del sistema, equipos
informaticos, equipo de comunicaciones, entre otros. La anterior es una lista a modo de referencia para la
mejor comprension y de ninguna forma es exhaustiva.
DuocUC posee informacion importante que desea proteger frente a cualquier situacion que suponga un riesgo
o amenaza. Todos los activos de la informacion deberan estar claramente identificados y debera mantenerse
en un inventario. El inventario debe mantenerse actualizado y al menos una vez al ano debera hacerse una
revision de dichos activos y riegos asociados, para adaptarlo tanto, a los nuevos requisitos de seguridad de la
informacion como los derivados por cambios legales, organizativos y/o tecnologicos. La responsabilidad por
crear, mantener y administrar este inventario es de la DPT.
MANEJO, PROTECCIÓN Y RESPALDO DE INFORMACIÓN
DuocUC debe mantener la confidencialidad, integridad y la disponibilidad de la informacion mediante
procedimientos rutinarios que soporten el resguardo y restauracion de la informacion de la Institucion,
registrando eventos de falla y monitoreando permanentemente el proceso.
Los procedimientos de respaldo de DuocUC, administrados y de responsabilidad de la DPT, deben considerar,
al menos, los siguientes controles:
• Las copias de seguridad deben almacenarse en un lugar seguro.
• Los dispositivos de respaldo deben ser probados regularmente, para asegurar que ellos pueden ser
de uso confiable ante una contingencia.
• Los procedimientos de restauracion de informacion deben ser revisados y probados regularmente
para asegurar que son efectivos.
• La informacion de respaldo debe contar con un nivel de proteccion fısica y del medio ambiente acorde
con los documentos: NOR-SI-05 Norma Seguridad Fısica y Control de Acceso a Sites.
• El perıodo de retencion de los respaldos de informacion de DuocUC debe cumplir con los requisitos
legales y plazos de conservacion que se le exijan, dependiendo de la naturaleza de la informacion.
• Se registraran los eventos y fallas ocurridas en los procesos de respaldo.
• DuocUC aplicara procedimientos formales de verificacion y validacion de restauracion de
informacion, con las autorizaciones respectivas.
• Deben existir procedimientos formales periodicos de pruebas de restauracion.
Pagina 13
La DPT velara porque estas directrices se cumplan propiciando el respaldo centralizado y proveyendo de
herramientas tecnologicas que permitan materializar esta polıtica.
ACCESOS, ROLES Y PERFILES
El acceso por medio de un sistema de restricciones y excepciones a la informacion es la base de todo sistema
de seguridad informatica. Para impedir el acceso no autorizado a los sistemas de informacion se deben
implementar procedimientos formales para controlar la asignacion de derechos de acceso a los sistemas de
informacion, bases de datos y servicios de informacion, y estos deben estar claramente documentados,
comunicados y controlados en cuanto a su cumplimiento.
Como polıtica de acceso a la informacion, DuocUC utilizara el Principio del Mınimo Privilegio, lo que significa
que:
• Cada colaborador tendra unica y exclusivamente aquellos privilegios necesarios para desarrollar sus
funciones.
• Se asignaran los privilegios en base a la clasificacion y responsabilidad de cada puesto de trabajo
individual (descripcion de cargo).
• Se debe garantizar la Segregacion de Funciones (SOD).
La responsabilidad por definir, implementar y mantener actualizado los accesos, roles y perfiles a los distintos
sistemas institucionales sera de la DPT, DDP y la respectiva Direccion Central, de Escuela o Sede que requiera
el uso de los mencionados sistemas.
CONTRASEÑAS Y CREDENCIALES
Las identificaciones de usuario y las contrasenas se utilizan para confirmar la identidad de un usuario en
todos los sistemas y dispositivos. Las identificaciones de usuario y las contrasenas tambien ayudan a
garantizar que los usuarios sean responsables por sus actividades en los sistemas a los que tengan acceso. Los
usuarios son responsables de cualquier actividad asociada con sus identificaciones de usuario y contrasenas.
Por ello deberan protegerlas y cumplir con lo establecido en el Reglamento Interno de Trabajo, Orden, Higiene
y Seguridad, artıculo 66 y posteriores.
RIESGOS E INCIDENTES DE SEGURIDAD
Un incidente de seguridad es cualquier anomalıa que afecte o pueda afectar a la seguridad de los datos,
entendida esta seguridad en los aspectos de confidencialidad, integridad, disponibilidad, identificacion y
autenticacion. Pueden ser tanto fısicas (fuego, inundacion, acceso no autorizado en zonas restringidas, otras)
como logicas (infeccion por virus, revelacion de contrasena, otras).
DetecciónyreportedeIncidentesdeSeguridaddelaInformación
Los colaboradores, y docentes de DuocUC deben estar atentos a los riesgos y vulnerabilidades que puedan
afectar la integridad, confidencialidad y disponibilidad de la informacion y reportar su ocurrencia tan pronto
Pagina 14
como sea posible. Sera responsabilidad de la DPT elaborar y publicar un “Instructivo de Gestion de incidentes”
en donde se describan los lineamentos para registrar, responder y divulgar la informacion necesaria
relacionada con los incidentes.
Cualquier usuario podra trasladar al Oficial de Seguridad de la Informacion de la DPT sugerencias y/o
debilidades, que pueda tener relacion con la seguridad de la informacion y las directrices contempladas en
las presentes polıticas. Para ello el Oficial de Seguridad de la Informacion comunicara el respectivo
instructivo.
GestióndeIncidentesyMejorasdelaSeguridaddelaInformación
De todo reporte de incidentes, la DPT debe establecer su criticidad para en coordinacion con el resto de las
Direcciones se de una solucion oportuna.
Deben establecerse responsabilidades e instructivos para manejar de mejor manera los eventos y debilidades
en la seguridad de la informacion una vez que han sido reportados, asimismo, debe existir un mejoramiento
continuo para las respuestas, monitoreandolas y evaluandolas.
DELITOS INFORMÁTICOS
Quienes incurren en conductas denominadas “hacking” (entre otras conductas) se exponen a riesgos legales
pues estas conductas pudieran encontrarse tipificadas como delito.
Para todos los efectos legales DuocUC declara que no son conductas aceptables ni aceptadas por la institución
y que quien las realice podra ser requerido judicialmente:
• La publicacion de informacion que vulnere la legislacion nacional o que este en contradiccion con la etica
tales como imagenes pornograficas, informacion homofobica, racista, clasista que pueda danar la
integridad o el honor de las personas, instituciones o creencias,
• La ejecucion de codigo malicioso, carga de archivos que contengan virus, “Troyanos”, gusanos, bombas de
tiempo, archivos danados, envıo de mail masivos (spam) o cualquier otro programa o software similar
que puedan perjudicar el funcionamiento de los equipos de DuocUC o propiedad de terceros y
• Cualquier intento de apropiacion de informacion de Bases de Datos institucionales o de privados
PROTECCIÓN FRENTE A SOFTWARE MALICIOSO
DuocUC debe asegurar que los controles de deteccion, prevencion y recuperacion para proteger la informacion
contra codigos maliciosos sean implementados en todas las areas de la Institucion. Los colaboradores,
docentes y alumnos deben reconocer la importancia de la implementacion de dichos controles y apoyar su
implementacion.
Las directrices establecidas en DuocUC para la proteccion frente a software malicioso seran descritas en la
“Norma Administracion de Antivirus DuocUC”.
Pagina 15
SEGURIDAD EN EL DESARROLLO DE SW DE APLICACIONES
AMBIENTES
Todas las aplicaciones que soportan los procesos de negocio de DuocUC requieren como mınimo la existencia
de ambientes independientes de desarrollo, pruebas y produccion. En caso de existir impedimentos para
dicha separacion, se deben definir controles compensatorios aprobados por la DPT.
Los datos de produccion que se utilicen en un entorno distinto deben ser adecuadamente asegurados y
protegidos, y su acceso debe ser limitado basado en clasificacion de informacion.
SEGURIDAD DE LOS SISTEMAS Y ARCHIVOS DE SISTEMAS
Cuando se desarrolle, adquiera o modifiquen sistemas que soportan procesos de negocio, los responsables
de dichos procesos de negocio deberan asegurar que se apliquen controles de seguridad adecuados de
acuerdo a la clasificacion de la informacion procesada y/o almacenada.
El acceso al codigo fuente de un programa, ası como a toda la documentacion asociada (diagramas de diseno,
especificaciones tecnicas, planes de prueba y validacion, etc.) debe estar estrictamente controlada para evitar
cambios no autorizados.
Para conseguir el objetivo indicado, es necesario poner en practica los siguientes lineamientos:
• Una vez que una aplicacion ha sido aceptada y ha pasado a ambiente de produccion, sus codigos
fuente y demas documentacion tecnica deben estar en un ambiente seguro y restringido de
modificaciones para todo el personal (incluyendo desarrolladores).
• Los codigos fuente de las aplicaciones no deben ser almacenados en el mismo servidor de produccion.
• Debe mantenerse un registro de auditorıa de todos los accesos realizados a los codigos fuente de las
aplicaciones.
• Nunca se deben realizar modificaciones directas en los codigos fuentes de las aplicaciones en
produccion, de modo que todo cambio debe ser realizado sobre una copia y probado en un ambiente
distinto al de produccion.
Pagina 16
De Los Aplicativos Que Soportan La Gestion Academica -
Administrativa
CICLO DE VIDA
Las aplicaciones tecnologicas que soportan la gestion academica y administrativa de los procesos de negocio
de DuocUC deben responder a un ciclo de vida que considere al menos lo siguiente:
• Adquisicion o Desarrollo: como resultado de un proceso de mejoramiento de un proceso de negocio
o de la implementacion de uno nuevo.
• Adopcion: proceso de aseguramiento que la aplicacion cumple con los requisitos de negocio y que las
personas que tienen roles asociados a su explotacion conocen y entienden para que y como funciona.
• Mantenimiento: proceso que permite garantizar que el valor de la aplicacion se mantiene o mejora
en el tiempo.
• Retiro o reemplazo: proceso planificado que permite retirar o reemplazar una aplicacion cuando el
beneficio marginal aportado sea inferior el costo de mantenimiento o cuando su operacion presente
riesgos no mitigables o aceptables por DuocUC.
Sera responsabilidad de la DPT administrar y gestionar el ciclo de vida completo de las aplicaciones de
negocio con excepcion de la fase de Adopcion, cuya responsabilidad recaera en el area de negocio duena del
proceso o de la aplicacion en cuestion.
GOBIERNO DEL PROCESO DE GESTIÓN DE LA DEMANDA
La Gestion de la Demanda constituye un modelo que acerca a la DPT con el Negocio, incorporando
metodologıas de evaluacion y analisis estrategico en las etapas iniciales de un requerimiento de incorporacion
de tecnologıa en algun proceso o servicio de negocio, aplicando mecanismos de evaluacion que permiten
focalizar los esfuerzos en aquellas oportunidades que agregan valor al negocio.
Los requerimientos realizados a la DPT, estan asociados a:
• La solicitud de mantenimiento correctivo de los aplicativos de negocio.
• La solicitud de mantenimiento evolutivo/adaptativo/perfectivo de los aplicativos de negocio
• Desde el analisis de procesos de negocio, la definicion de un portafolio de mejora de procesos que
considere la implementacion de tecnologıas de informacion.
• Incorporacion de nuevos Servicios.
Las solicitudes deberan ser realizadas segun los mecanismos formales definidos por la DPT para estos efectos,
los cuales deberan cautelar que el proceso de decisiones este avalado por niveles de autoridad (Direccion
General, Central, Sede o Escuela) dependiendo del monto del desembolso involucrado.
Pagina 17
Este modelo debe considerar la utilizacion de herramientas de analisis que permitan evaluar las inversiones
de TI en funcion de su alineamiento con el Plan de Desarrollo Institucional, la gestion basada en procesos y
su correspondiente cumplimiento de las metas estrategicas del negocio.
DESARROLLO DE APLICACIONES, DESARROLLO DE NUEVOS MÓDULOS SOBRE APLICACIONES EXISTENTES
Toda aplicacion o nuevo modulo de una aplicacion existente que requiera ser desarrollada debera cumplir
con los siguientes requisitos:
• Debe ser financiada con presupuesto de inversiones y por tanto reconocida como un activo cuya
propiedad es de DuocUC. Por lo anterior la obtencion de financiamiento debe adherir el proceso que
DuocUC tenga implementado para dichos efectos.
• Todos los desembolsos necesarios para la implementacion de dicha aplicacion, deben considerarse
como parte del costo de la misma. Del mismo modo se deben reconocer los desembolsos de
mantenimiento comprometidos a futuro para efectos de confeccion de presupuestos durante la vida
util esperada de la misma.
• El desarrollo e implementacion de la aplicacion debe adherir a una metodologıa conocida y
documentada que garantice certeza en el resultado final del proyecto de desarrollo e
implementacion.
• Debe identificarse un responsable de negocio de la aplicacion ası como de los datos que ella produce
o modifica.
• Las decisiones tecnicas relacionadas al desarrollo de la nueva aplicacion o modulo son de exclusiva
competencia de la DPT.
MANTENIMIENTO EVOLUTIVO/CORRECTIVO/ADAPTATIVO/PERFECTIVO DE APLICACIONES DE NEGOCIO
El mantenimiento es un proceso mediante el cual DuocUC realiza acciones con el fin de mantener o mejorar
el valor de una aplicacion de negocio a traves del tiempo. Se definen 4 tipos de mantenimiento, a saber:
• Correctivo: permite corregir fallas, entendiendo como falla aquella situacion en la que la
funcionalidad del aplicativo esta impactada por una incidencia o el desempeno normal esta
degradado.
• Evolutivo: permite agregar nuevas funcionalidades a modulos ya existentes o mejorar las
funcionalidades existentes.
• Perfectivo: permite mejorar el desempeno de una funcionalidad existente o minimizar un riesgo
operacional.
• Adaptativo: permite adecuar una funcionalidad a cambios en el entorno, normalmente de origen
regulatorio.
Pagina 18
Para todos los efectos el mantenimiento se considera gasto operacional a menos que se pueda demostrar que
dicho mantenimiento aumenta el valor del activo en cuyo caso podra financiarse con inversiones.
En el entendido que los recursos son limitados, sera responsabilidad de la DPT y de los respectivos duenos de
las aplicaciones priorizar el trabajo de mantenimiento velando por el buen uso de los recursos y basado
siempre en criterios objetivos de impacto y beneficio.
Las decisiones tecnicas relacionadas al mantenimiento de las aplicaciones de negocio son de exclusiva
competencia de la DPT
Pagina 19
Del Proceso de Control de Cambios a Ambientes
Productivos
¿QUÉ ES UN CONTROL DE CAMBIOS?
El Control de Cambios es un proceso mediante el cual se garantiza la continuidad de las plataformas
tecnologicas al momento de realizar mantenimientos o cambios en los ambientes productivos.
Sera responsabilidad de la DPT implementar un proceso de control de cambios que garantice la disponibilidad
y continuidad de los servicios prestados por la DPT ante este tipo de situaciones.
ROLES ASOCIADOS AL CONTROL DE CAMBIOS
En este proceso participan las siguientes figuras:
• El Solicitante del Cambio: es la persona o area que requiere la realizacion del cambio.
• El Gestor de Cambios: es la persona o area encargada de dar seguimiento a todo el proceso, a manera de
que sea de conocimiento de todos los interesados en que etapa se encuentra el proceso.
• El Ejecutor de Cambios: es normalmente la persona o el area de tecnologıa, quienes deben ser los unicos
autorizados a realizar modificaciones en el ambiente de produccion de una organizacion.
• Comité de Gestión de Cambios: es un cuerpo colegiado, donde se encuentran los representantes de las
areas relacionadas con los cambios tecnologicos que se realicen, usualmente esta conformado por la DPT,
seguridad de la informacion, auditorıa interna (si corresponde) y el Solicitante del Cambio. Sin perjuicio
de lo anterior se pueden integrar tantas personas como el Comite de Gestion de Cambios requiera. El
objetivo de este Comite es evaluar todos los elementos y requisitos para pasar algun producto o servicio
a produccion y garantizar la disponibilidad y continuidad de los servicios prestados. Este Comite debera
ser presidido por el Director de la DPT o quien el autorice.
TIPOS DE CONTROLES DE CAMBIO
Se definen dos tipos de control de cambio sobre las plataformas tecnologicas, estos son:
• Cambios Planificados: son aquellos cambios que debido a su naturaleza, se pueden realizar todas las
pruebas, validaciones y determinar el momento ideal para realizar el pase a produccion. Este tipo de
cambios caen bajo la supervision del Comite de Gestion de Cambios.
• Cambios No Planificados: son aquellas situaciones que, por fuerza mayor, no caen en la situacion anterior
y por tanto no pueden adherir al mencionado proceso. Este tipo de cambios debera ser autorizado por el
Director del area del Solicitante del Cambio y el Director de la DPT.
Pagina 20
Del Plan De Recuperacion Ante Desastres (DRP)
QUE ES EL DRP (DISASTER RECOVERY PLAN)
Un plan de recuperacion de desastres (DRP) describe como enfrenta una organizacion posibles desastres. Ası
como un desastre es un evento que imposibilita la continuacion de las funciones normales, un plan de
recuperacion de desastres se compone de las precauciones tomadas para que los efectos de un desastre se
reduzcan al mınimo y la Institucion sea capaz de mantener o reanudar rapidamente funciones de mision
crıtica.
RTO Y RPO
RPO (Recovery Point Objective): se refiere al volumen de datos en riesgo de perdida que la organizacion
considera tolerable. Responde a la pregunta ¿cuantas transacciones se esta dispuesto a perder o a tener que
reintroducir al sistema ante un desastre?
RTO (Recovery Time Objective): expresa el tiempo durante el cual la Institucion puede tolerar la falta de
funcionamiento de sus aplicaciones y la caıda de nivel de servicio asociada, sin afectar a la continuidad del
negocio. Responde a la pregunta ¿cuanto tiempo se puede mantener la operacion sin sistemas o con el sistema
degradado ante un desastre?
MATRIZ DE RIESGOS DE SERVICIOS BASADOS EN TECNOLOGÍA
Es una herramienta de control y de gestion que identifica los riesgos, la probabilidad de ocurrencia y el
impacto de ocurrencia asociados a la prestacion de los servicios provistos por la DPT. A diferencia del DRP
que es reactivo ante la ocurrencia de un desastre, la matriz de riesgos es una herramienta preventiva y que
reconoce riesgos en la prestacion de un servicio.
Sera responsabilidad de la DPT desarrollar y mantener actualizada la mencionada matriz de riesgos para los
distintos sistemas y servicios provistos por dicha organizacion, ası como de minimizar la probabilidad de
ocurrencia de los distintos riesgos.
RIESGO OPERACIONAL, MITIGACIÓN Y RIESGO RESIDUAL
Corresponde a una entrada de la matriz de riesgos mencionada en el parrafo anterior. Un riesgo se define
como la posibilidad de ocurrencia de un dano y como tal es intrınseco a toda actividad, que surge de la
exposicion y la incertidumbre de probables eventos o cambios en las condiciones del negocio o de la economıa
que puedan impactar una actividad. La mitigacion corresponde al conjunto de actividades que permiten
minimizar la probabilidad de ocurrencia o del impacto del riesgo. Finalmente el riesgo residual corresponde
a la evaluacion final resultante de aplicar la mitigacion al riesgo inicialmente identificado.
Pagina 21
ROLES Y RESPONSABILIDADES DE LOS ACTORES CLAVES DEL DRP
Es responsabilidad de la DPT desarrollar y mantener actualizada la matriz de riesgos de todos los servicios
que presta al negocio ası como desarrollar las mitigaciones necesarias con el fin de mantener el riesgo residual
bajo parametros compatibles con los niveles de servicio comprometidos con el negocio.
Del mismo modo sera responsabilidad de la DPT disenar, implementar, probar y mantener actualizado el DRP.
Finalmente sera responsabilidad de las respectivas areas de negocio servidas por la DPT entregar los
parametros de operacion del servicio (dimensiones de calidad y niveles de servicio) ası como los
requerimientos de RTO y RPO.
Pagina 22
De La Continuidad de Procesos de Negocio (BCP)
QUE ES EL BCP (BUSINESS CONTINUITY PLAN)
El Plan de Continuidad de Negocio es un proceso documentado que permite a la Institucion recuperar la
operacion de los procesos crıticos ante la indisponibilidad declarada de los sistemas y servicios provistos por
la DPT, mediante la aplicacion de un conjunto de medidas organizadas con las cuales es posible cumplir con
los objetivos y compromisos de la organizacion, sin tener la necesidad de interrumpir las operaciones y
procesos manteniendo niveles de calidad de los servicios y productos.
En los planes asociados al BCP, se deben considerar 4 ejes:
1. Personas: Preservar la vida de las personas.
2. Viabilidad - Continuidad de los negocios: Preservar la capacidad de mantener actividad en el proceso
de ensenanza-aprendizaje y procesos de apoyo.
3. Proteger Ingresos/Ganancias: Proteger los compromisos financieros de la companıa.
4. Proteger la Marca: Evitar la reprobacion y perdida de credibilidad publica.
ROLES ASOCIADOS AL BCP
• Direccion Ejecutiva (DE).
• Duenos de Procesos y/o Lıderes de areas de negocio.
RESPONSABILIDADES DE LOS ACTORES CLAVES DEL BCP
La DE y Duenos de Procesos y/o Lıderes de areas de negocio deberan:
• Definir y dotar el proceso de BCP (recursos humanos, financieros y tecnologicos).
• Definir el responsable de del BCP a nivel organizacional (conocido como BCM por sus siglas de Business
Continuity Manager).
• Validar y aprobar el BCP incluyendo el proceso de toma de decisiones.
• Establecer los canales de comunicacion del BCP a nivel de toda la organizacion.
La responsabilidad por la gestion y el mantenimiento del BCP recae en los Duenos de Procesos y/o lıderes de
las areas de negocio quienes se hacen cargo de que sus procesos sean resistentes frente a interrupciones.
Pagina 23
De Los Servicios Tecnologicos
MESA DE AYUDA TI
La Mesa de Ayuda TI es un servicio provisto por la DPT que administra el proceso de resolucion de incidentes
y requerimientos que esten en su catalogo de servicios y que, por su naturaleza, son predominantemente de
ındole tecnologico. Es por tanto el canal formal para el reporte de este tipo de interacciones.
SERVICIO DE IMPRESIÓN
El servicio se entrega directamente en cada sede a traves del area tecnologica respectiva. La DPT en conjunto
con el area de servicios tecnologicos en sede, velaran por el buen y racional uso de los recursos.
SERVICIO DE ACCESO A INTERNET
La DPT disena el servicio de acceso a internet a la comunidad DuocUC, teniendo como prioridad su uso
academico. Para que dicho servicio se materialice requiere el trabajo colaborativo de la DPT y las respectivas
areas de servicios tecnologicos en sedes.
Por lo anterior es fundamental que los usuarios conozcan y respeten las condiciones bajo las cuales pueden
utilizar las herramientas informaticas que les proporciona la Institucion, como el caso del acceso a internet,
para disminuir los riesgos a que se expone ante un mal uso.
SERVICIO DE CORREO INSTITUCIONAL PARA COLABORADORES Y DOCENTES
Los colaboradores y docentes de DuocUC deben asumir que los sistemas de comunicaciones electronicas, tales
como Internet, correo electronico, telefonıa IP, mensajerıa instantanea y otros similares, tecnicamente no
garantizan confidencialidad, aunque se dirijan a un destinatario especıfico y su emisor tenga una expectativa
de privacidad y seguridad.
Todos los sistemas de comunicaciones electronicas que forman parte de la infraestructura de DuocUC, como
Internet y correo electronico, son de su propiedad y uso exclusivo. El uso de Internet y del correo electronico
de DuocUC debe limitarse para actividades y contenidos relacionados con la Institucion, es decir, como
herramientas de uso comercial, de produccion o referido al negocio.
El Reglamento Interno de Trabajo, Orden, Higiene y Seguridad establece las conductas, prohibiciones y
sanciones relacionadas con estas herramientas de trabajo.
Complementando lo anterior, la DPT debera:
• Gestionar y programar los cambios de contrasenas en las cuentas de correo electronico de todos los
colaboradores de DuocUC de acuerdo a la polıtica vigente.
• Realizar los respaldos de correo electronico de la Institucion.
• Especificar el tamano de las casillas de correo electronico para la recepcion de mensajes y demas
restricciones tecnicas sobre peso o formato de archivos que se transmitan, velando por mantener la
Pagina 24
estabilidad de la red y evitar la perdida de informacion. Se podran establecer tamanos diferentes o
cambiar los establecidos segun las necesidades, roles y funciones de los colaboradores.
Si un colaborador o docente de DuocUC se ausenta temporalmente de la Institucion, ya sea por vacaciones,
licencias medicas u otras razones, debera dejar su correo electronico configurado con una respuesta
automatica que comunique su ausencia por un perıodo determinado, especificando fechas e indicando los
datos y direccion de correo electronico de la persona que lo reemplaza.
En caso de renuncia o desvinculacion de un colaborador o docente de DuocUC, la DPT, luego de ser informada
por la DDP, debera deshabilitar la correspondiente cuenta de correo electronico y debera configurar una
respuesta automatica que informe que el colaborador ya no pertenece a la Institucion, indicando los datos de
contacto de la persona que lo reemplaza.
Asimismo, la DPT debe deshabilitar todos los derechos de acceso a los sistemas de redes sociales (Facebook,
Twitter, LinkedIn, etc.) de DuocUC en el caso que corresponda.
El contenido de las casillas de correo de los colaboradores o docentes desvinculados de DuocUC, se debe
respaldar y, a continuacion, se debe eliminar del sistema la correspondiente casilla de correo, esto con el fin
de impedir que exista la posibilidad de continuar con el uso posterior al evento de desvinculacion.
El respaldo de la casilla de correo del colaborador desvinculado se almacenara por dos anos.
SERVICIO DE TELEFONÍA
DuocUC pone a disposicion de sus colaboradores y docentes el servicio de telefonıa fija y movil. Las
condiciones de acceso y uso de los servicios de telefonıa movil se establecen en la Polıtica de Telefonıa Movil
la cual es mantenida y publicada por la Direccion de Personas.
Sin perjuicio de lo anterior se entiende que ambos servicios, fija y movil, son provistos por DuocUC como una
herramienta de apoyo para la eficiente prestacion de las funciones academicas y/o administrativas y por tanto
su uso debe ajustarse al reglamento, ası como respetar las leyes chilenas. El uso de estos servicios para fines
personales esta permitido en la medida que no comprometa o interfiera con los objetivos operacionales o en
la imagen de DuocUC.
Pagina 25
De La Evolucion Y Adopcion De La Tecnologıa
EL ITAC
Debido al dinamismo que muestran las Tecnologıas de la Informacion y Comunicaciones es un imperativo
para DuocUC asegurar que los activos de informacion se mantienen productivos y vigentes a traves del tiempo.
Para ello es necesario formalizar un proceso permanente de revision del estado de las tecnologıas (emergente,
consolidada o en declinacion) ası como de su adopcion en la organizacion de manera de asegurar que el valor
que prestan se mantenga o acreciente en el tiempo.
El ITAC (Information Technology Architecture Council) es el organo, al interior de la DPT, que cumple el rol de
ser la instancia consultiva y declarativa respecto de las diferentes dimensiones de las tecnologıas de
informacion que soportan los procesos academicos, administrativos y de gestion. En su constitucion declara
diferentes comites para generar el gobierno suficiente y la mecanica necesaria para cumplir el rol definido,
priorizarlo y alinearlo a la Estrategia Institucional, para esto se crean los siguientes comites:
1. Comite Arquitectura Capa de Presentacion
Objetivo: Definir la arquitectura de la capa de Presentacion de aplicaciones (look and feel), estableciendo las
directrices que todo aplicativo requerira, persiguiendo con esto una vista homogenea para nuestros usuarios
Alumnos, Docentes y Administrativos.
2. Comite Arquitectura Aplicativa
Objetivo: Definir la arquitectura Aplicativa, considerando tecnologıas que integren la flexibilidad requerida
por nuestros Alumnos, Docentes y Administrativos, en plataformas moviles y web, asegurando la coherencia
funcional, buscando la unicidad de los datos e integrando esta sobre la plataforma definida para Bases de
Datos y Servidores.
3. Comite Arquitectura de Base de Datos
Objetivo: Definir la arquitectura de Base de Datos, para ERP (SAP) y aplicativos internos integrando una
solucion robusta para el activo principal de nuestra Institucion, la Informacion.
4. Comite Arquitectura de Servidores
Objetivo: Definir la arquitectura de Servidores, considerando las nuevas tecnologıas On Premise y Cloud, para
los ambientes que requiere la plataforma aplicativa siendo esta robusta y consistente con la demanda de
nuestros Alumnos, Docentes y Administrativos.
5. Comite Arquitectura de Red
Objetivo: Definir la arquitectura de red, que potencie y estabilice el recurso de cara a nuestros alumnos,
docentes y colaboradores, siendo esta una arquitectura flexible, disponible, robusta y estabilizada en la
Institucion.
Adicionalmente se establece que las tecnologıas en el ambito de la educacion (LMS, flipped classroom, otras)
estan fuera del alcance del ITAC siendo responsabilidad de la Vicerrectorrıa Academica (VRA) su definicion y
Pagina 26
adopcion. Sin perjuicio de lo anterior, la DPT debera velar por la prestacion de los servicios de desarrollo,
integracion, implementacion y soporte que sean acordados con la VRA.
ÁMBITOS DE ACCIÓN
El ITAC definira estandares de tecnologıas de informacion para el apoyo del funcionamiento de la institucion.
Los estandares pueden incluir hardware, software, las clasificaciones y definiciones de nivel de habilitacion,
la terminologıa, y otros artıculos que se consideren apropiadas. El ITAC sera responsable de conceder las
excepciones que permiten la instalacion de tecnologıa de instruccion no estandar.
Pagina 27
De Las Sanciones
Las sanciones por incumplimiento de las normas sobre asignacion, devolucion, robo, hurto, perdida y
renovacion de equipamiento computacional sera objeto de la investigacion respectiva a fin de determinar las
posibles responsabilidades que se puedan generar, de acuerdo a lo dispuesto en el instructivo sobre
investigaciones sumarias, de la Direccion Jurıdica y aplicadas las sanciones contenidas en el Reglamento
Interno de, Orden, Higiene y Seguridad y demas que sean aplicables al efecto.
Pagina 28
Informacion de contacto
GUILLERMO MAUREIRA I. DIRECTOR DE PROCESOS Y TECNOLOGÍA
Tel. +56 9 82284884
Informacion de la organizacion
FundaciónInstitutoProfesionalDuocUC
Avenida Eliodoro Yanez 1595, Providencia, Santiago de Chile
Tel.+56 9 82284884
www.duoc.cl