Política de Contraseñas

POLITICA DE CONTRASEÑAS
WORK LEVEL, S.A. DE C.V.
El presente documento es propiedad de WORK LEVEL. No podrá ser transferido de manera total o parcial a
personas externas sin la aprobación previa de la empresa.
1. PROPÓSITO
El propósito de esta política es definir los estándares para la protección, creación, cambio y eliminación de
contraseñas para WORK LEVEL en adelante “LA EMPRESA”.
Esta política gobierna la interacción entre todos los activos y recursos, tanto para Tecnología de la Información
como para Tecnología de Operaciones, incluye sistemas operativos, software de aplicaciones, hardware de
cómputo, redes y servicios en nube, para todo equipo manejado por “LA EMPRESA” donde residan datos de
“LA EMPRESA”.
2. AMBITO Y APLICACIÓN
Todo personal que labora para WORK LEVEL están obligadas a implementar y cumplir todas las políticas y
directrices vigentes.
Asimismo, se requiere que todo el personal de WORK LEVEL mantenga la intención de dichas políticas y
directrices, homologando las disposiciones que les correspondan de acuerdo con la naturaleza de su contrato.
Esta política aplica a Colaboradores y Proveedores de “LA EMPRESA”, incluyendo personal afiliado a terceros,
siempre que se maneje información de “LA EMPRESA” y use infraestructura y/o servicios de tecnología de “LA
EMPRESA”.
La seguridad de contraseñas es una parte fundamental de un Programa de Ciberseguridad exitoso, pues éstas
son la protección de primera línea para las cuentas de usuario. Una contraseña débil puede resultar en el acceso
no autorizado a información sensible o explotación de recursos de la empresa. Todos los colaboradores,
contratistas, consultores, trabajadores temporales y otros con acceso a los sistemas de WORK LEVEL, deberán
cumplir con esta política.
Versión Revisión
00 1 Pag.1/5
3. DEFINICIONES
TÉRMINO DEFINICIÓN
La habilidad de proteger o defender el uso del ciberespacio de
Ciberseguridad
ciberataques.1
Se refiere a directores, gerentes, funcionarios o empleados
Colaborador (es) permanentes o temporales y practicantes o pasantes que forman
parte de WORK LEVEL o cualquiera de sus subsidiarias.
También denominada clave, es una forma de autenticación para
Contraseña controlar el acceso hacia algún recurso informático, ya sea un archivo,
un programa o un equipo.
Personas e instituciones con las cuales la empresa mantiene vínculos
comerciales, contractuales o empresariales e incluye en sentido
Proveedor (es) amplio a los proveedores, contratistas, prestadores de servicios,
consultores, subcontratistas, asesores, agentes, distribuidores, socios
comerciales, etc.
TI Tecnología de la Información
VPN Red Virtual Privada (por sus siglas en inglés)
1
Definición basada en la NIST (National Institute of Standards and Technology)
4. DECLARACIÓN DE LA POLITICA
Todos los usuarios (colaboradores) recibirán contraseñas serán establecidas por el departamento de
Informática//sistemas y deberán ser únicas. Las contraseñas se entregarán de manera segura (ej. No como
texto de un e-mail) y deberán mantenerse confidenciales bajo el manejo del usuario y control del
departamento de Informática//sistemas.
4.1 Lineamientos para la construcción de contraseñas
✓ La contraseña debe tener un mínimo de 8 caracteres.

✓ Las contraseñas deben contener las siguientes clases de caracteres:
o Letras minúsculas
o Letras mayúsculas
o Números
o Símbolos (ej. @#$%^&*() _+|~-=\` {} []:";'<>/ etc.)
✓ Las contraseñas no deben ser una palabra regular, un nombre propio, cumpleaños, el número de
identificación, o cualquiera de las opciones anteriores junto a un dígito.
✓ Las contraseñas deben cambiarse cada 120 días.
✓ Las contraseñas solo pueden ser reutilizadas después de ser cambiadas como mínimo 2 veces o tras
120 días.
✓ No deben utilizarse contraseñas similares para cada cuenta relacionada al trabajo.
✓ No deben utilizarse las mismas contraseñas para cuentas personales.
✓ Las cuentas con privilegios de administrador en los sistemas deben tener una contraseña única,
distinta de todas las contraseñas del sistema.
Versión Revisión
00 1 Pag.2/5
4.2 Cambio de Contraseñas
✓ Las contraseñas nuevas (por asignación nueva o restauración) deben enviarse a través de métodos
seguros.
✓ En caso de sospecha que una contraseña ha sido comprometida, deberá cambiarse de inmediato.
✓ El descifrado de contraseñas o uso de fuerza bruta se realizará de manera periódica o aleatoria por el
equipo de Informática//sistemas o jefes de área. Si una contraseña es descifrada durante estas pruebas,
el usuario deberá cambiarla en cumplimiento con los lineamientos de construcción de contraseñas en
la sección 4.1.
4.3 Estándares de Protección de Contraseñas
✓ Las contraseñas se deben manejar como información sensible, parte de la información confidencial de
“LA EMPRESA”.
✓ No deben compartirse con nadie, jefes de área u otros colaboradores, bajo ninguna comunicación
electrónica o por teléfono.
✓ Los usuarios deberán declinar la funcionalidad “Recordar mi contraseña” en las aplicaciones.
✓ El formato o contenido de la contraseña no debe insinuarse a otros (ej. “el nombre de mi perro”)
✓ Las contraseñas no deben escribirse o guardarse en ningún lado, incluyendo archivos en la
computadora sin encriptar.
✓ Ante la sospecha de que la contraseña ha sido comprometida, el usuario debe reportarlo a Soporte
de Infromática//sistemas, jefe de área de inmediato y cambiar todas sus contraseñas.
✓ Las contraseñas solo podrán guardarse en “gestores de contraseñas” autorizados por “LA
EMPRESA” para servicios críticos.
4.4 Borrado de Contraseñas
Las contraseñas que ya no sean necesarias deben borrarse o inhabilitarse de inmediato, incluyendo,
pero no limitado a:
✓ Retiros, despidos, renuncias, reasignaciones, etc.
✓ Contraseñas temporales
✓ Cuentas de contratistas o terceros que ya no se requieran o vencido el contrato. Las cuentas
de externos deberán crearse con un periodo de validez definido.
Cuando ya no se requiera una contraseña, deberán ejecutarse lo siguiente:
✓ El usuario deberá notificar a su supervisor inmediato.

✓ Los jefes de área o puntos de contacto deben informar a Informática//sistemas.
✓ El equipo de Informática//sistemas eliminará la contraseña y eliminará o suspenderá la cuenta.
✓ Deberán realizarse revisiones regulares para validar que la contraseña fue eliminada de manera
satisfactoria.
Versión Revisión
00 1 Pag.3/5
4.5 Inicio de sesión fallidos
✓ Las cuentas de usuario deben bloquearse tras 3 intentos de inicio de sesión fallidos.
✓ La duración del bloqueo será ilimitada.
✓ Para recuperar una contraseña el usuario deberá contactar a personal de Informática//sistemas.
4.6 Acceso Remoto

✓ El acceso remoto a la red de “LA EMPRESA” se controla por el uso de una Red Virtual Privada
(VPN por sus siglas en inglés), para lo cual se requiere una identificación de usuario y contraseña,
así como el uso de doble autenticación.
4.7 Información de Contacto
EJEMPLO…
PAIS E-MAIL
Argentina [email protected]
4.8 Referencias
• ISO 27001 – Estándar internacional en Sistemas de Gestión de Seguridad de la Información
5. RESPONSABILIDADES
Colaboradores
• Conocer y cumplir las disposiciones de esta Política
• Solicitar orientación cuando sea requerido.
• Conocer Reportar inquietudes y preocupaciones con respecto a esta Política.
Directores, Gerentes y Supervisores
• Sensibilizar a los colaboradores sobre el contenido y cumplimiento de esta Política.

• Coordinar con el Área Informática//sistemas para solicitar su orientación, establecer procesos y
prácticas que aseguren el cumplimiento de requisitos / exigencias de esta Política.
Versión Revisión
00 1 Pag.4/5
INFORMÁTICA//SISTEMAS WORK LEVEL

Es la administrador (a) de la presente política y responsable de:
• Asegurar la vigencia y revisión de esta política.
• Asegurar la distribución adecuada de las políticas a “LA EMPRESA”.
• Actualizar su contenido cuando se requiera.
• Comunicar y difundir las actualizaciones, cambios, excepciones y cualquier otro asunto relacionado con la
misma.
• Canalizar y aclarar cualquier duda o comentario de la Política.
• Brindar orientación específica sobre cada situación o caso que se presente en aplicación a la Política.
• Notificar al coordinador de métodos y procedimientos de los ajustes realizados al documento.
Responsable de INFORMÁTICA//SISTEMAS
• Actualizar la documentación basada en la Dirección General.

• Asegurar la distribución adecuada de la información de ciberseguridad dentro de “LA EMPRESA”.
Departamento de INFORMÁTICA//SISTEMAS
• Establecer los controles de acceso de usuario y requerimientos de contraseñas.

• Brindar apoyo a los usuarios en caso necesario.
6. CONTROL Y CUMPLIMIENTO
El cumplimiento de esta Política es obligatorio. Todo personal de WORK LEVEL deberá entender su rol y
responsabilidad en relación con esta Política.
7. CONSECUENCIAS DE INCUMPLIMIENTO
Desvíos e incumplimiento de la presente política puede acarrear la imposición de medidas disciplinarias,
que, de aplicarse, servirán como elemento correctivo y formador de nuestra cultura organizacional.
Las medidas disciplinarias deben ser justas, razonables y proporcionales a la falta cometida, respetando el
marco legal correspondiente y las normas internas de la empresa.
8. EXCEPCIONES
Cualquier excepción a esta política deberá tratarse de manera particular y deberá estar debidamente
sustentada por el personal de área informática/sistemas, y aprobada por Director General.
Realizó Revisó: Aprobó:
Marisol Segura T. Salvador Blanco T. Lic. Gerardo Hernández

Coord. métodos y procedimientos Coord. técnico Director General
Versión Revisión
00 1 Pag.5/5
CONTROL DE CAMBIOS
Edición Fecha Descripción Actualizada por:
Versión Revisión
00 1 Pag.6/5

Política de Contraseñas

Cargado por

Copyright:

Formatos disponibles

Política de Contraseñas

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Política de Contraseñas

Cargado por

Copyright:

Formatos disponibles

POLITICA DE CONTRASEÑAS

WORK LEVEL, S.A. DE C.V.

WORK LEVEL, S.A. DE C.V.

4.1 Lineamientos para la construcción de contraseñas

✓ La contraseña debe tener un mínimo de 8 caracteres.

WORK LEVEL, S.A. DE C.V.

4.2 Cambio de Contraseñas

4.3 Estándares de Protección de Contraseñas

4.4 Borrado de Contraseñas

Cuando ya no se requiera una contraseña, deberán ejecutarse lo siguiente:

✓ El usuario deberá notificar a su supervisor inmediato.

WORK LEVEL, S.A. DE C.V.

4.5 Inicio de sesión fallidos

4.6 Acceso Remoto

Directores, Gerentes y Supervisores

• Sensibilizar a los colaboradores sobre el contenido y cumplimiento de esta Política.

WORK LEVEL, S.A. DE C.V.

INFORMÁTICA//SISTEMAS WORK LEVEL

• Actualizar la documentación basada en la Dirección General.

• Establecer los controles de acceso de usuario y requerimientos de contraseñas.

Realizó Revisó: Aprobó:

Marisol Segura T. Salvador Blanco T. Lic. Gerardo Hernández

WORK LEVEL, S.A. DE C.V.

También podría gustarte