MÓDULO 3: APLICACIÓN DE LAS NORMAS DE

SEGURIDAD DE LA INFORMACIÓN EN MIGRACIONES

OFICINA GENERAL DE TECNOLOGÍAS DE

INFORMACIÓN, COMUNICACIONES Y
ESTADÍSTICA
Contenido
 Normas para mantener escritorios, pantallas e impresoras limpias.
 Uso aceptable de los activos de Información.
 Seguridad de la información para proveedores.
 Seguridad de la información en el uso de equipos portátiles, dispositivos móviles y
teletrabajo.

Objetivos
 Difundir y concientizar sobre los lineamientos aprobados en materia de seguridad de la
información
 Comprender y aplicar las normas aprobadas en el marco de la implementación del Sistema
de Gestión de Seguridad de la Información.
S02.TICE.NAI.003 - Normas para mantener Escritorios, Pantallas e Impresoras Limpias
Definiciones

Escritorios limpios
Es la protección de los papeles y
dispositivos removibles de
almacenamiento de información
almacenados y tratados en estaciones de
trabajo ( escritorio, oficina, etc.), para
evitar accesos no autorizados, pérdida y/o
daño de la información durante y después
de la jornada laboral.

Pantalla limpia:
Es la protección de las computadoras u
otros dispositivos mediante el bloqueo de
pantalla o desconexión cuando no están
en uso.
… S02.TICE.NAI.003 - Normas para mantener Escritorios, Pantallas e Impresoras
Limpias

Desarrollo de las Normas

Ubicación de escritorios y equipos

 El lugar de trabajo del personal debe ser localizado, en lo

posible, en ubicaciones que no queden expuestas al acceso
de personas no autorizadas.

 Los equipos de cómputo ubicados cerca a zonas de atención

al público, deben ubicarse de tal manera que las pantallas no
puedan ser visualizadas por las personas externas.
 … S02.TICE.NAI.003 - Normas para mantener Escritorios, Pantallas e
Impresoras Limpias

Escritorios limpios

 La información confidencial, reservada o secreta

contenida en medios de almacenamiento digital o en un
papel; debe guardarse en un lugar seguro, cada vez que
se ausente de su lugar de trabajo o cuando no requiera
trabajar con dicha información o al finalizar la jornada
laboral.

 Debe evitarse consumir alimentos o bebidas cerca a los

documentos o equipos de cómputo.
 … S02.TICE.NAI.003 - Normas para mantener Escritorios, Pantallas e
Impresoras Limpias
Pantallas limpias
 En los equipos de cómputo del personal se debe activar el protector de pantalla definido por MIGRACIONES,
ante un tiempo sin uso del equipo.

 Debe evitarse crear o mantener carpetas en el escritorio de su equipo de cómputo; así como crear accesos
directos a carpetas que faciliten el acceso a la información.

Impresoras limpias
 Debe recogerse inmediatamente de las
impresoras los documentos que contengan
información confidencial, reservada o
secreta.
 … S02.TICE.NAI.003 - Normas para mantener Escritorios, Pantallas e
Impresoras Limpias

Pizarras limpias

 Al término de las reuniones, la información

considerada como confidencial, reservada o
secreta expuesta en pizarras, debe ser borrada.

 En caso de utilizar o almacenar información

temporalmente en equipos de cómputo de uso
común (por ejemplo presentaciones para reuniones
de trabajo), dicha información expuesta debe ser
eliminada al término del evento.
S02.TICE.NAI.004 -Uso aceptable de los activos de Información
Disposiciones generales

 Los activos de información de la Superintendencia Nacional de

Migraciones, deben tener un propietario, el cual será designado por el
dueño del proceso.
 El dueño del proceso, a través del(os) Monitor(es) del Sistema de
Gestión, deben elaborar y mantener el inventario de activos actualizado,
de acuerdo con lo establecido en el procedimiento correspondiente.

 El propietario de los activos, en coordinación con el Monitor del Sistema

de Gestión, debe identificar los riesgos a los cuales están expuestos los
activos, independientemente del medio que lo soporta.

 Todos los servidores que utilizan o tienen acceso a los activos de

información son responsables del uso adecuado de los mismos,
considerando además, otras normas emitidas por la organización.
Disposiciones específicas
Uso de los equipos de cómputo

 El uso del equipo de cómputo, accesorios e impresora provisto por

MIGRACIONES es para el cumplimiento exclusivo de las funciones
encomendadas a los servidores de la institución.
 El servidor es responsable del uso, protección y custodia del equipo de
cómputo y los accesorios asignados para el desarrollo de sus actividades,
durante su horario de trabajo.
 Cuando un equipo de cómputo es asignado a otro servidor o es puesto a
disposición (dado de baja); el servidor de la Oficina General de Tecnologías
de Información, Comunicaciones y Estadística debe eliminar de modo seguro
la información contenida en el medio de almacenamiento del equipo; así
como todo software instalado, previa coordinación con el jefe o Director del
órgano o unidad orgánica, para ejecutar el respaldo de información en caso
de ser necesario.
Disposiciones específicas
Uso de los equipos de cómputo

 No está permitido utilizar el equipo de cómputo para almacenar

y/o reproducir archivos de música, videos y películas cuyo origen
transgreda los derechos de autor y propiedad intelectual.

 El servidor debe reportar a la Oficina General de Tecnologías de

Información, Comunicaciones y Estadística, las fallas en los
equipos de cómputo de acuerdo a los canales establecidos para
este fin.
… Disposiciones específicas
Uso de los sistemas de información
 Los permisos de acceso a los sistemas de información son estrictamente personales e intransferibles.
 Los servidores que tienen acceso a algún sistema de información, deben tratar la información
contenida en éstos en concordancia con su nivel de clasificación.

Uso del servicio de internet

 Corresponde al jefe inmediato de cada órgano, solicitar a la
Oficina General de Tecnologías de Información, Comunicaciones
y Estadística el nivel de acceso de los servidores o las visitas,
según corresponda.
 El acceso a Internet a través de redes inalámbricas debe contar
con la autorización del jefe inmediato de cada órgano al cual
pertenecen.
 El uso del servicio de internet es única y exclusivamente para el
cumplimiento de las funciones laborales de los servidores.
… Disposiciones específicas
Uso del correo electrónico institucional
 El servicio de correo electrónico institucional, es para el uso exclusivo de envío y recepción de
información relacionada a las actividades laborales de cada servidor.
 No está permitido el uso de correos electrónicos gratuitos tales como Hotmail, Yahoo, Gmail, entre
otros; a través de internet, para fines laborales. Excepcionalmente, se podrá permitir el acceso a
cuentas de correos electrónico gratuito dentro de las instalaciones de MIGRACIONES, previa
solicitud del titular del órgano a la Oficina General de Tecnologías de Información, Comunicaciones y
Estadística.
 La cuenta de correo electrónico institucional es personal e intransferible.

 Para prevenir la materialización de posibles riesgos de seguridad de la información, el servidor debe

evitar el uso de su cuenta de correo electrónico institucional para suscribirse por internet a foros,
aplicaciones o demás servicios ajenos a sus actividades laborales.
 No está permitido utilizar el correo electrónico institucional para enviar o reenviar mensajes no
relacionado con las actividades laborales de los servidores.

 El servidor podrá solicitar al personal responsable de la Oficina General de Tecnologías de

Información, Comunicaciones y Estadística el servicio de respaldo de la información guardada en la
cuenta de correo electrónico institucional.
… Disposiciones específicas
Uso del correo electrónico institucional

 Corresponde al emisor del correo electrónico tratar la información a transmitir de acuerdo con la clasificación
establecida según la normativa correspondiente.

 En caso de que el usuario reciba correos sospechosos, de destinatarios desconocidos o que contengan archivos
adjuntos que no hayan sido solicitados, se sugiere que no sean abiertos y se reporte el evento de acuerdo con el
procedimiento S02.TICE.PR.002.-Gestión de eventos o incidentes de seguridad de la información.

 Se consideran acciones de mal uso del correo institucional a acciones como las siguientes:

 Recibir o transmitir música, videos, humor, gráficos e imágenes inapropiadas.

 Enviar información o enlaces a sitios que puedan considerarse por su contenido
que promueva algún tipo de xenofobia, discriminación, un comportamiento
agresivo u ofensivo.
 Difundir mensajes con contenido que constituya complicidad con hechos delictivos:
apología al terrorismo uso y/o distribución de programas piratas, todo tipo de
pornografía, amenazas, estafas, virus o temas hostiles en general.
 Participar en la propagación de mensajes encadenados (cadenas) o similares.
… Disposiciones específicas
Uso del correo electrónico institucional
 Se consideran acciones de mal uso del correo institucional a acciones como las siguientes:
 Distribuir mensajes con contenidos impropios y/o lesivos a la moral, o que
afecten la imagen de terceros o de la institución u otras entidades públicas.
 El uso del correo institucional, para recibir cadenas y/o mensajes masivos o
provenientes de emisores de motivación dudosa o cualquier otro que pueda
ser interpretado, por su comportamiento, como un agresor al servicio del
correo.
 Acceder y utilizar una cuenta de correo electrónico institucional diferente a la
asignada.
 Difundir por correo electrónico dentro o fuera de MIGRACIONES, información
o documentos clasificados como confidencial, secreto o reservado, sin contar
con la autorización correspondiente.
 Dejar su cuenta de correo electrónico institucional abierto en un lugar público.
 Transmitir vía correo electrónico: cuentas de usuarios, contraseñas,
configuraciones de redes internas, direcciones y nombres de sistemas.
 Acceder a la cuenta institucional desde computadores conectados a redes
públicas e inseguras.
… Disposiciones específicas
Equipos portátiles y dispositivos móviles institucionales

 La información que se almacene en los equipos portátiles o

dispositivos móviles debe estar protegida de acuerdo con su
clasificación, para esto la Oficina General de Tecnologías de
Información, Comunicaciones y Estadística implementará los
controles de seguridad que correspondan.

 El traslado de equipos portátiles fuera de los ambientes de la

institución, debe contar con la autorización del jefe inmediato
superior de acuerdo a los procedimientos establecidos.

 Corresponde a cada servidor proteger los equipos portátiles o dispositivos móviles durante su transporte, ya sea
dentro y/o fuera de la institución.

 Ante la ocurrencia de algún incidente de los equipos portátiles o dispositivos móviles fuera de la institución, como
pérdida o robo, el servidor debe comunicar inmediatamente el incidente a la Oficina General de TICE para las acciones
que correspondan.
… Disposiciones específicas
Equipos portátiles y dispositivos móviles personales

 En caso que los servidores requieran el uso de equipos portátiles

personales para acceder a los recursos tecnológicos y de información de
MIGRACIONES, deberán contar con la autorización de su jefe inmediato y
de la Oficina General de Tecnologías de Información, Comunicaciones y
Estadística.

 La configuración del acceso a los recursos de información desde los

equipos o dispositivos móviles personales debe efectuarse con el apoyo de
los especialistas de la Oficina General de Tecnologías de Información,
Comunicaciones y Estadística, quienes implementará los controles de
seguridad que correspondan de acuerdo a la clasificación de la información
a la cual tendrán acceso.
… Disposiciones específicas
Recursos compartidos

 Corresponde al jefe inmediato de cada órgano, solicitar a la Oficina General de

Tecnologías de Información, Comunicaciones y Estadística el acceso a
carpetas compartidas, de los servidores a su cargo.
 En lo posible, la información de carácter institucional debe ser almacenada en
las unidades de red o recursos compartidos.
 La información que se almacene en los recursos compartidos debe tratarse en
concordancia con su nivel de clasificación.
 No está permitido duplicar o almacenar información de carácter personal en los
recursos compartidos.
 El jefe del órgano o unidad orgánica puede solicitar la ejecución de copias de
respaldo de la información periódicas o por única vez, de acuerdo a su
necesidad.
 Se debe evitar el uso de carpetas compartidas en el escritorio del equipo de
cómputo del servidor.
… Disposiciones específicas
Uso de la red de datos

 La Oficina General de Tecnologías de Información, Comunicaciones y

Estadística es la encargada de asignar a los servidores los permisos
correspondientes para el acceso a la red de datos.

 El servidor debe hacer uso de la red de comunicaciones de datos y de

los servicios relacionados con esta, solo para el cumplimiento de sus
funciones encomendadas, respetando los controles implementados.

Uso de Sistemas
 El acceso otorgado a los servidores a los sistemas de información es estrictamente para el cumplimiento
de sus labores, por lo cual corresponde al servidor tratar la información a la cual tienen acceso de
acuerdo con su nivel de clasificación.
… Disposiciones específicas
Uso de activos de información en formato físico
 El tratamiento de la información en formato físico deberá efectuarse de acuerdo a su nivel de
clasificación.
 Sobre la divulgación de información clasificada como confidencial, restringida o secreta:
 Los colaboradores no deberán divulgar la información clasificada como confidencial, reservada o secreta sin
contar con la autorización expresa del propietario del activo de información.
S02.TICE.NAI.005 - Seguridad de la información para proveedores
Los responsables de los órganos y/o unidades orgánicas deben:

 Asegurar que, en los términos de referencia para la contratación de servicios de proveedores, se

incluya una cláusula de CONFIDENCIALIDAD; en concordancia con la clasificación de la información
a la cual tendrá acceso el proveedor así como las Leyes y normas vigentes aplicables a la protección
de la información, de ser el caso.
 Al inicio de las actividades del proveedor, efectuar una inducción, a través del Monitor del Sistema de
Gestión, sobre las medidas de seguridad que debe tomar en el tratamiento de la información a la cual
tendrá acceso para la prestación del servicio, de acuerdo con la clasificación correspondiente.
… S02.TICE.NAI.005 - Seguridad de la información para proveedores

… Los responsables de los órganos y/o unidades orgánicas deben:

 Autorizar a los proveedores que prestan servicios en sus dependencias el

acceso a la información necesaria para la prestación del servicio, adoptando
para ello los controles de seguridad de acuerdo a la clasificación de la
información a la cual tendrá acceso.

 Asegurar el cumplimiento de las normas establecidas por MIGRACIONES

respecto al tratamiento de la información proporcionada u obtenida como
resultado de la prestación del servicio.

 Comunicar a la Oficina General de TICE y a la Oficina General de

Administración y Finanzas, la fecha de término del servicio del proveedor
para que procedan a cancelar los derechos de acceso a los servicios
informáticos o instalaciones a las que se le otorgó acceso, respectivamente;
así como asegurar la devolución de los documentos; al término de la
prestación del servicio.
… S02.TICE.NAI.005 - Seguridad de la información para proveedores
El proveedor debe:

 Realizar la prestación del servicio en concordancia con la normativa legal vigente; así como las normas,
procedimientos y demás lineamientos incluidos en el sistema de gestión de seguridad de la información.
 Reportar los eventos o incidentes de seguridad de la información identificados durante la prestación del
servicio; de acuerdo al procedimiento establecido para este fin.
 Asegurar que, en el caso de requerir personal subcontratado para la prestación del servicio, éstos
reciban la inducción respectiva y cumplan con la Política de Seguridad de la Información y los
lineamientos del sistema de gestión de seguridad de la información de Migraciones.
… S02.TICE.NAI.005 - Seguridad de la información para proveedores
El proveedor debe:

 Realizar el tratamiento de la información proporcionada u obtenida durante la prestación del servicio, en función de
su clasificación y de los acuerdos establecidos con el área usuaria.
 Realizar el tratamiento de datos personales, en el caso de ser requerido y proporcionado para la prestación del
servicio; en el estricto cumplimiento de la normativa legal vigente en materia de protección de datos personales (Ley
N° 29733 y su Reglamento, Decreto Legislativo N° 1353).
 Cumplir las normas legales en materia de propiedad intelectual.
 Implementar los controles razonables para evitar el acceso no autorizado o la pérdida de la información
proporcionada por MIGRACIONES.
 Suscribir el acuerdo de confidencialidad con MIGRACIONES.
 Devolver la documentación proporcionada por el área usuaria al término de la prestación del servicio.
S02.TICE.NAI.007 - Seguridad de la información en el uso de equipos portátiles,
dispositivos móviles y Teletrabajo
Responsabilidad de los usuarios de equipos portátiles o dispositivos móviles

 Realizar la protección física de los equipos asignados mientras se desplacen o realicen sus
funciones. Al finalizar sus actividades diarias deberán guardar los equipos asignados.
 Reportar a la OG TICE, en caso de robo o pérdida del equipo portátil o dispositivo móvil, para las
acciones correspondientes.
 Conservar los controles de seguridad implementados y la configuración de los equipos realizada por
el personal especializado de la OG TICE.
… S02.TICE.NAI.007 - Seguridad de la información en el uso de equipos
portátiles, dispositivos móviles y Teletrabajo

… Responsabilidad de los usuarios de equipos portátiles o dispositivos móviles

 Cumplir con las recomendaciones de seguridad del personal especializado de la OG TICE.
 Asegurarse que los equipos portátiles son conectados a redes de comunicación de datos seguras,
en el caso de ser necesario.
 Mantener actualizado el software antivirus y hacer uso de software debidamente licenciado (de ser
necesario), en el caso de que estuvieran realizando sus funciones haciendo uso de su equipo
propio.
S02.TICE.DI.001-Lineamientos para la gestión de accesos a sistemas informáticos y
recursos tecnológicos
Disposiciones Generales
La Oficina General de Tecnologías de Información, Comunicaciones y Estadística (TICE), es la
encargada de administrar los accesos a:

• Los servicios de red, • Correo electrónico institucional y sistemas

informáticos de MIGRACIONES

otorgando y/o restringiendo los accesos de los usuarios de acuerdo a los requerimientos brindados por el titular de
las Oficinas, Oficinas Generales, Gerencias y órganos desconcentrados de MIGRACIONES.
S02.TICE.DI.001-Lineamientos para la gestión de accesos a sistemas informáticos y
recursos tecnológicos
… Disposiciones Generales
Los titulares de las Oficinas, Oficinas Generales, Gerencias y órganos desconcentrados deberán:
4.2) Solicitar a través de los
procedimientos establecidos
por la Oficina General de
Tecnologías de Información,
Comunicaciones y Estadística;
los accesos y/o restricciones
necesarios para el personal a
su cargo, de acuerdo a las
funciones que este
desempeña.
4.3) Solicitar a la Oficina
General de Tecnologías de
Información, Comunicaciones
y Estadística, con copia a la
Oficina General de Recursos
Humanos, la baja o
modificación de accesos del
personal en caso de traslado
de órgano, cambio de puesto
de trabajo, cambio de
ubicación física o cese, según
corresponda.
4.3.) El plazo para remitir la
referida solicitud es de hasta
un (01) día antes de hacerse
efectivo el evento, de
acuerdo al procedimiento
de accesos establecido.
4.4) Para el caso en que los
usuarios se ausenten de sus
labores por motivos de
vacaciones, descansos médicos,
natalidad o licencias, el titular de
la Oficina, Oficina General,
Gerencia u órgano
desconcentrado deberá
comunicar el evento a la Oficina
General de Tecnologías de
Información, Comunicaciones y
Estadística, para que proceda a
deshabilitar las cuentas de
acceso, por el tiempo que se
indique.
…Disposiciones Generales

4.6.) La Oficina General de

4.5.) La Oficina General de
Tecnologías de
Tecnologías de 4.7) La Oficina General de
Información,
Información, Tecnologías de Información,
Comunicaciones y
Comunicaciones y Comunicaciones y Estadística
Estadística, es la única
Estadística, deberá atender podrá acceder a los equipos
oficina facultada para
las solicitudes de altas, de cómputo de los usuarios
realizar en los equipos de
bajas o modificaciones de de manera remota, solo en
cómputo de los usuarios, caso de soporte técnico
accesos en un plazo
las configuraciones reportado y previa
máximo de cuarenta y
requeridas para el acceso a autorización expresa del
ocho (48) horas de emitida
los servicios, las mismas usuario.
la solicitud por el órgano
que no podrán ser
correspondiente.
alteradas por los usuarios.
S02.TICE.DI.001-Lineamientos para la gestión de accesos a sistemas informáticos y
recursos tecnológicos
…Disposiciones Generales
Sobre el uso de las contraseñas de acceso por los usuarios
5.3) Es responsabilidad de cada uno de los usuarios de los servicios de
red, correo electrónico institucional y sistemas informáticos de
MIGRACIONES, proteger la confidencialidad de sus respectivas
contraseñas de acceso, cumpliendo las siguientes disposiciones:

Los usuarios deben 5.4) En caso de requerir un

Usar contraseñas de
cambiar, en el usuario el reinicio de su
por lo menos ocho
La contraseña de primer acceso, la contraseña a la red o de los
(8) dígitos,
acceso es personal contraseña inicial Cambiar las sistemas informáticos,
combinando letras,
e intransferible, brindada por el contraseñas de deberá solicitarlo de
números y
por lo tanto, el personal Oficina acceso por lo acuerdo al procedimiento
caracteres
usuario es el único General de menos cada treinta establecido para la
especiales, evitando
responsable de su Tecnologías de (30) días atención de
coincidencias con
seguridad y uso. Información, Requerimientos e
sus datos
Comunicaciones y Incidentes de Tecnologías
personales.
Estadística. de Información.
S02.TICE.DI.001-Lineamientos para la gestión de accesos a sistemas informáticos y
recursos tecnológicos
…Disposiciones Generales
Sobre la revisión de los derechos de acceso

5.6) La Oficina General de
Tecnologías de Información,
Comunicaciones y Estadística,
deberá emitir mensualmente la
relación de usuarios que no han
accedido en los últimos treinta
(30) días a la red y a los sistemas
informáticos, a fin que se pueda
efectuar la baja de las cuentas de
acceso no utilizadas, previa
autorización del titular del órgano
en el que labora el usuario.
5.7) Con la finalidad de
identificar actividades
sospechosas y salvaguardar las
disponibilidad de los servicios,
la Oficina General de
Tecnologías de Información,
Comunicaciones y Estadística
está facultada para monitorear
los accesos y las actividades de
la red de datos realizadas por
los usuarios.
5.8) En caso de detectarse un mal
uso de los accesos otorgados o
algún incidente o evento que ponga
en riesgo la seguridad de la
información, la Oficina General de
Tecnologías de Información,
Comunicaciones y Estadística podrá
cancelar los permisos otorgados a un
usuario, informando directamente al
titular de la Oficina, Oficina General,
Gerencia u órgano desconcentrado
correspondiente.
S02.TICE.DI.001-Lineamientos para la gestión de accesos a sistemas informáticos y
recursos tecnológicos
…Disposiciones Generales

El uso del correo electrónico

5.9) El uso del correo institucional es exclusivamente para fines laborares, siendo el usuario
responsable de las acciones que se ejecutan desde su cuenta.

5.10) El tamaño máximo de los documentos adjuntos en el correo electrónico no debe exceder de
10MB. El tamaño de buzón de correo electrónico ha sido establecido en 500MB. Para conservar los
mensajes en forma permanente, este deberá ser almacenado en la estación de trabajo del usuario.

Uso de certificados digitales

5.12) Los titulares de los Oficinas, Oficinas Generales, Gerencias y órganos desconcentrados,
podrán solicitar la emisión o baja de los certificados digitales para su personal a la Entidad de
Registro Digital del Estado Peruano a través la Oficina de General de Tecnologías de Información,
Comunicaciones y Estadística.
Gracias por su atención.