PROCEDIMIENTO PARA LA GESTIÓN DE RECURSOS FÍSICOS

Transcripción

1 RESPONSABILIDAD Y AUTORIDAD FECHA FIRMA REVISADO POR: LEIDA MARIA RAMIREZ GIL Subgerente General APROBADO POR: GERARDO GARCIA LONDOÑO Gerente General 09/01/ /01/2015 VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 1 DE 15

2 1. TABLA DE MODIFICACIONES En este documento se realizaron cambios. Por favor léalos y aplíquelos. Verifique que esté utilizando la última Versión correspondiente a la última revisión. Nº VERSIÓN MODIFIC FECHA MODIFICAC MODIFICACIONES 4 23/10/09 Se actualizo el procedimiento, describiendo las actividades de cómo se manejan en la actualidad. 4 23/10/2009 Se eliminaron los formatos -F02, F06, F07, F03, F04, debido a que se está manejando de otra manera, y estos formatos ya no se están utilizando. 5 05/04/2010 Se incluyo el logo de SERTIC S.A.S 5 18/04/2011 Se reorganizan todas las actividades del procedimiento. Se actualiza la descripción de las actividades de acuerdo a los cambios presentados en la empresa. Se incluye la actividad relacionada con la gestión de inventario. Se incluye las actividades relacionadas con la gestión de dada de bajas de bienes. Se incluye las actividades para la gestión de mantenimiento de infraestructura y equipos. 5 18/04/2011 Se reorganizan y reasignas los códigos de los formatos relacionados con le procedimiento. Se elimina el formato -F01, el código se asigna a un nuevo formato. Se actualiza la versión y fecha de vigencia del procedimiento versión 6 del 25/04/ /05/2014 Se reviso y actualizo el procedimiento en general 7 09/01/2015 Se actualiza el procedimiento con respecto a las actividades realizadas con el software de inventarios service manageengine Servidesk Plus. VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 2 DE 15

3 2. OBJETO Este procedimiento describe los pasos, responsabilidades y autorizaciones para gestionar el control y mantenimiento (físico y contable) los recursos físicos necesarios para el desarrollo de las actividades de la organización (hardware, software, muebles y enseres e infraestructura de la organización). Garantizar que la información y los equipos estén salvaguardados protegiéndolos de los accesos físicos no autorizados, de daños y perdidas, para asegurar el buen desarrollo del negocio. 3. ALCANCE Este procedimiento inicia con la revisión, control y entrega de todos los recursos físicos: hardware, software, comunicaciones, muebles y enseres e infraestructura continua con la verificación del estado del inventario de todos los recursos físicos de la compañía periódicamente; continúa con el mantenimiento preventivo o correctivos de estos de acuerdo a sus necesidades y finaliza con la dada de baja y/o venta de los bienes que no se encuentran en condiciones adecuadas para el desarrollo de las actividades de la compañía. Este procedimiento debe tomar en cuenta la identificación de los riegos físicos y ambientales en el perímetro de ubicación de las instalaciones que puedan afectar la seguridad de la información y los equipos, extendiéndose a la aplicación de los controles y metodologías apropiadas para mitigar, trasladar o asumir dichos riesgos. 4. DOCUMENTOS PARA CONSULTA Normas de Cableado Normas Eléctricas Inventario general de Sistema de información ATLAS. Planes de Acción Plan de Mantenimiento para Administración de Recursos Físicos. Norma técnica Colombiana NTC-ISO/IEC 27001:2006 Norma técnica Colombiana NTC-ISO-IEC 17799:2006 Seguridad Informática para empresas y particulares, Marañon Álvarez Gonzalo; Perez Garcia Pedro Pablo Editorial Mc Graw Hill 2004 VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 3 DE 15

4 5. TÉRMINOS Y DEFINICIONES 5.1. ACCESO FÍSICO: Posibilidad de llegar a la información o intervenir un equipo ACTIVOS: Son todos los bienes tangibles e intangibles que posee una organización AMENAZAS EXTERNAS: El riesgo que existe de un eventual daño de un elemento físico ò perdida de la información BAJA DE BIENES: Se define como el proceso administrativo mediante el cual la entidad retira definitivamente de su patrimonio los bienes y equipos de su propiedad BAJA DE BIENES INSERVIBLES O INNECESARIOS: Los bienes se retiran del servicio para darles de baja por obsolescencia, inservibles, o innecesarios BAJA DE INMUEBLES: Se produce cuando, por necesidad de la Corporación, se determina que no presta ningún servicio BIEN MUEBLE: Aquel que se puede transportar de un lugar a otro BIEN INTANGIBLE (SOFTWARE Y LICENCIAS): Es el bien inmaterial adquirido o desarrollado por la entidad con el fin de facilitar, mejorar o tecnificar sus operaciones CABLEADO DE ENERGÍA Y TELECOMUNICACIONES: Medio por el cual se transmite potencia e información de un punto a otro EQUIPO DE CÓMPUTO: Elemento electrónico que procesa y almacena la información de una organización HARDWARE (HW): Conjunto de elementos materiales que constituyen el soporte físico de un computador INFRAESTRUCTURA: Conjunto de elementos o servicios que se consideran necesarios para el funcionamiento de una organización o para el desarrollo de una actividad. En la organización, se hace referencia a las instalaciones físicas del edificio de oficinas y su mantenimiento INVENTARIO: Es el registro ordenado, completo, detallado y valorizado de toda clase de bienes que integran el patrimonio de la entidad. VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 4 DE 15

5 5.14. INVENTARIO FÍSICO: Es la comprobación material de los elementos guardados en almacén, por su cantidad y valor INVENTARIO CONTABLE: Es el registro llevado en libros, que determina la cantidad de elementos o artículos valorizados que deben hallarse en existencia KVA: consumo o aporte total de potencia SOFTWARE (SW): Término genérico que se aplica a los componentes no físicos de un sistema informático, como por ejemplo los programas, sistemas operativos, etc., que permiten a éste ejecutar sus tareas UPS: (Sistema de Alimentación Ininterrumpida) es un dispositivo que, gracias a su batería puede proporcionar energía eléctrica tras un apagón o un desenchufe a todos los dispositivos existentes en la red eléctrica. 6. DESCRIPCIÓN GENERAL DE ACTIVIDADES 6.1. GESTIÓN DE COMPRA DE LOS Y/O SERVICIOS La Direccion general y/o la Subgerencia general encargaran o designaran al responsable para la gestión de la compra o requerimiento de las áreas o proyectos de la empresa. La persona designada deberá aplicar las actividades establecidas en el procedimiento de compras GRA-P01-F04, en el cual se establecen las diferentes actividades y responsables para realizar las compras para la empresa, como realización de cotizaciones, selección y evaluación de los proveedores REGISTRO DE ENTREGA DE (CONTROL) Luego de realizada la compra de recursos se procede a la entrega de recursos/equipos a los usuarios, dejando registro de esta entrega así: - Equipos Celulares y/o Módems Inalámbricos: Se maneja el formato control de entrega y devolución de equipos celulares y/o módems inalámbricos - F02, el cual está a cargo de la Subgerencia. - Hardware (servidores, video beam, memorias, portátiles, computadores de escritorio, impresoras, cámaras digitales, herramientas, entre otros): Se maneja el formato Entrega de Equipos dependiendo el consorcio o empresa del grupo empresarial, donde se relaciona las características básicas del equipo, el serial, el modelo y las normas establecidas por la compañía sobre el uso de el hardware y VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 5 DE 15

6 software entregado, este es firmado por el usuario que se va a hacer responsable del activo y el técnico que realiza la entrega GESTIÓN DE INVENTARIO La Dirección General y la Gerencia Administrativa con el apoyo de la y Gerencia Financiera se encargaran anualmente de gestionar la realización del inventario físico y contable de la compañía para lo cual se deben desarrollar las siguientes actividades: - Definir el periodo durante el cual se realizara el inventario físico en todas las sedes y proyectos de la compañía. - Definir el área y/o colaboradores encargados de realizar las inspecciones físicas para el inventario. - Informar a todos los colaboradores sobre el desarrollo del ejercicio de inventario EJECUCIÓN DE INVENTARIO FÍSICO Para la ejecución del inventario físico se desarrollaran las siguientes actividades: - Registrar la información de los diferentes bienes Tecnológicos de la compañía en el software de inventarios service manageengine Servidesk Plus - Verificar el estado de los bienes tecnológicos de la compañía. - El área contable integrara la información de inventarios al sistema contable de la compañía para efectos de control financiero ACTUALIZACIÓN DE INVENTARIO El inventario de la compañía se actualizara en los siguientes casos: - Inicio de nuevos proyectos, se debe verificar la adquisición de productos y servicios para el desarrollo de las actividades del proyecto. - Terminación de proyectos, se debe verificar quien se responsabiliza de los bienes al finalizar el proyecto o una nueva asignación que se realice de estos dentro de la compañía. - Retiros, ingresos y cambios de proyecto de personal a la compañía, verificar el formato de paz y salvo de retiro. De acuerdo a los siguientes criterios el encargado del software de inventario de activos actualiza la información. VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 6 DE 15

7 6.4. GESTIÓN DE BAJA DE BIENES El encargado del Software de inventarios, deberá informar la relación de bienes para dar de baja, como resultado de las siguientes situaciones: por ser inservible, reposición, renovación, obsolescencia, destrucción, desmantelamiento, hurto, el mantenimiento es más costoso que el valor del bien o cuando el bien no se encuentre en condiciones de prestar el servicio para el cual fue adquirido. De acuerdo a esta información el encargado de inventarios, realizara una lista de los bienes a dar de baja, la cual debe incluir la siguiente información: tipo de bien, motivo de daño por la cual se da de baja; presentar esta información a la gerencia de operaciones y la subgerencia para la aprobación de la baja de los bienes. Luego de obtener la aprobación de la gerencia para la dada de baja de los bienes el encargado de del inventario procederá con la ejecución física de la actividad aplicando los siguientes criterios de acuerdo a la instrucción de la gerencia: - Venta de bienes ( a los colaboradores u otras entidades) - Entrega de bienes para reciclaje (cuando aplique) - Donaciones - Entrega a los servicios de recolección se desechos respectivos. Nota 1: Cuando se realice eliminación o reutilización de hardware el área de sistemas y tecnología debe verificar que no contenga ningún tipo de información de la organización en el disco duro. Nota 2: La eliminación de RAEES se debe realizar siguiendo los lineamientos establecidos en el Instructivos GRA-I03 PROGRAMA PARA LA GESTIÓN DE LA BAJA DE EQUIPOS ELÉCTRICOS Y ELECTRÓNICOS. Terminada la eliminación de los bienes se deberá: - Actualizar el software de Inventarios - Informar a contabilidad la baja de equipos GESTIÓN DE MANTENIMIENTO DE /ACTIVOS De acuerdo con la información suministrada a partir de la gestión de inventarios y/o a partir de solicitudes particulares de los usuarios se establece un programa de mantenimiento de los recursos anual -F09, este programa es elaborado por la con el apoyo del SGI. La gestión de los mantenimientos se divide de la siguiente forma: - Mantenimiento Locativo / Infraestuctura: Estas solcitudes se deden realizar a la subgenrencia de acuerdo a su importancia para su aprobación y gestión del VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 7 DE 15

8 requrimiento por parte de la asistente administrativa, como registro de esta actividad se tienen los correos electronicos de solicitud, facturas de los servicios prestados, entre otros. - Mantenimiento de Hardware y Software: Este esta a cargo de la, para el mantenimiento de hardaware como equipos de computo se debe seguir los linemientos del Instructivo para mantenimiento de equipos de computo GRA-I02. - Para los casos de los mantenimientos realizados al hardware como servidores entre otros, inicialmente se manejara bajo el esquema de garantia directamente con el fabricante si aun esta vigente, los registros de estos mantenimientos quedan consiganos en los registros de mantenimiento que deja el fabricante durante la ejecución del servicio y la cual es firmado por el encargado de la de atender la visita. - Como parte de la gestión de mantenimiento se debe tener encuenta la calibración de las herramientas de medicón que se utilizan en la empresa, para lo cual se deben seguir los linemientos del Instructivo calibración y verificación de equipo de medición GRA-I01, el cual esta a cargo de la GESTIÓN DE ÁREAS SEGURAS PARA PROTECCIÓN DE ACTIVOS Los activos se deben proteger contra acceso físico no autorizado, daño e interferencia a las instalaciones y a la información de la compañía. Las actividades de la Gestión de Áreas Seguras se realizan en conjunto con las siguientes áreas de la empresa. Subgerencia,, Sistema de gestión integral, entre otros PERÍMETRO DE SEGURIDAD Para las instalaciones de la compañía en el cual desarrolla las actividades los colaborares el perímetro de seguridad para los activos de información comienza a partir del ingreso a las instalaciones por la puerta principal, tanto para la Sede principal como para las demás sedes de la compañía. En el caso de las instalaciones de los clientes el perímetro de seguridad se considera a partir de la puerta de ingreso a estas instalaciones. Para asegurar el perímetro de seguridad de las instalaciones de la compañía se deben instalar sistemas de alarma monitoreada. La persona encargada de la vigilancia nocturna VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 8 DE 15

9 y fines de semana debe verificar que todas las ventanas y puertas de la empresa se encuentren debidamente cerradas antes de activar la alarma. Nota 3: Para las instalaciones de la compañía se tiene instalado un sistema de alarma con la empresa INTEGRA la cual presta un servicio 24 horas y está conectada con las autoridades competentes CONTROL DE ACCESO FÍSICO Y SEGURIDAD EN OFICINAS. Para el control del acceso físico a las instalaciones de la empresa se deben seguir los siguientes lineamientos: - Vigilancia a través de circuito cerrado de televisión compuesto por cámaras ubicadas estratégicamente, con capacidad de captura de video de 24 horas, y almacenamiento de video en el disco duro por 15 días luego de los cuales reescribe a partir el primer día de almacenamiento y así cíclicamente. Tiempo suficiente para verificar reportar y obtener información con respecto a incidentes de seguridad de la información. Este Circuito se encuentra instalado en las sedes principales de la empresa. - Dentro de las instalaciones de la empresa y en las instalaciones de los clientes cuando aplique los colaboradores deberán portar el carné de la empresa como medio de identificación. De igual forma los colaboradores son responsables de mantener sus escritorios cerrados y con llave - Las instalaciones de la compañía deben contar con un área de recepción y/o barreras de acceso físico que impidan el ingreso de personal no autorizado. - Para el ingreso a las sedes de la empresa en general se cuenta con citófonos para controlar el ingreso de personal a las instalaciones. - El ingreso y salida de visitantes se debe registrar en el formato Control de Ingreso y Salida de Visitantes y Equipos Móviles -F04, así mismo se debe solicitar un documento para el ingreso y entregar el carné de identificación de visitante. El visitante se debe dirigir al lugar correspondiente y debe estar siempre acompañado y/o vigilado por personal del área y/o proyecto al cual se dirige. El visitante debe portar el carné de visitante en un lugar visible durante su permanencia. - Para los colaboradores que realizan labores después de las 7:00 PM, sábados, domingo y festivos deberán diligenciar el formato control de ingreso salida de colaboradores en horario nocturno, sábados, domingos y festivos -F05 el cual debe ser aprobado por su jefe inmediato y la gerencia operaciones. - Para el ingreso a los centros de computo y/o cuarto de equipos de la empresa se debe diligenciar el formato registro de ingreso al cuarto de computo por terceros -F06. VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 9 DE 15

10 - Los colaboradores de la empresa deberán seguir y a catar todos y cada uno de los reglamentos y/o políticas de la compañía para el desarrollo de las actividades laborales. - Los instalaciones de la empresa con información y/o activos sensibles deben contar con barreras física como puertas con llave, de igual forma deben identificarse con letreros como los siguientes: - Las instalaciones de la compañía no deben contar con letreros y/o publicidad exterior que indique el nombre de la empresa. En general la parte exterior de la empresa debe ser discreta. - Los colaboradores que desarrollen sus actividades en las instalaciones del cliente deberán seguir las normas, políticas y reglamentos establecidos por este para el acceso físico a las instalaciones y la seguridad en las oficinas PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES Las instalaciones de la compañía deben contar con los siguientes lineamientos para proteger los activos: - Contar con un plan de emergencias donde se identifican los factores más significativos para minimizar el dalo de pérdidas humanas y de activos. - Contar con personal capacitado para atención de emergencias (Brigada de emergencia). - Contar con equipos de contraincendios (extintores de solkaflam y multipropósito) ubicados estratégicamente y siguiendo los lineamientos de ley para la instalación de estos. - Las instalaciones como centro de cómputo deben estar ubicados en niveles superiores para evitar daños por inundaciones. - Las instalaciones como centro de cómputo deben estar libres de materiales inflamables. VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 10 DE 15

11 - Los colaboradores deben seguir los lineamientos de la Brigada de emergencia para la atención de amenazas dentro de las instalaciones de la empresa UBICACIÓN Y PROTECCIÓN DE EQUIPOS Los equipos para el desarrollo de las actividades de la compañía deben seguir los siguientes lineamientos: - Los equipos servidores y demás deben estar ubicados dentro del centro de computó y contar con una barrera física que impida el acceso de personal no autorizado. - El centro de computo debe contar con las condiciones adecuadas ambientales como temperatura - Los equipos de computó portátiles de ser necesario deben contar con guayas para su protección, al terminar la jornada laboral deben ser guardados. - Los colaboradores no deben ingerir bebidas y/o alimentos en las áreas de oficina SERVICIOS DE SUMINISTROS Las instalaciones de la empresa donde se desarrollen las actividades del negocio deben contar con las siguientes características. - Servicios públicos generales: energía, agua y alcantarillado, teléfono. - Contar con unidades ininterrumpidas de potencia UPS para los servicios más críticos de la empresa (servidores) y baterías para planta telefónica SEGURIDAD DE LAS LINEAS DE TRANSMISION Las instalaciones de la empresa donde se desarrollen las actividades del negocio deben contar con las siguientes características. - Sistema de cableado estructurado debidamente encanalado, efectuando las correspondientes revisiones periódicas, actualizando las tablas de asignación y diagramas unifilares de acuerdo a los cambios realizados EQUIPOS FUERA DE LAS INSTALACIONES Los equipos que se encuentren fuera de las instalaciones de la empresa deben seguir los siguientes lineamientos: VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 11 DE 15

12 - Los equipos portátiles utilizados para el desarrollo de las actividades de los colaboradores no se deben dejar solos en sitios públicos, se deben transportar de forma discreta para evitar robos y pérdida de información. - Mantener backup de la información sensible y/o crítica del área o proyecto. - Los equipos que se encuentren en las instalaciones del cliente deben seguir los lineamientos de este para su protección SEGURIDAD EN LA REUTILIZACIÓN O ELIMINACIÓN DE LOS EQUIPOS Los equipos de computó antes de re-utilizarse y/o eliminarse deben seguir los siguientes lineamientos: - Todos los equipos de computó deben ser regresados a la gerencia de cuando se presente cambio de proyecto y/o retiro de la empresa. - A los equipos de computó de cargos críticos y/o sensibles que regresan a la se les debe sacar una copia de la información, si el gerente de proyecto lo solicita, contenida por el anterior usuario, la cual debe permanece por dos semanas. - Realizar un proceso de formateo seguro antes de su reasignación. VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 12 DE 15

13 7. DIAGRAMA DE FLUJO PASO ACTIVIDAD RESPONSABLE OBSERVACIONES INICIO 1 Gestión de compras SGG/DG Se siguen los pasos descritos en el procedimiento de compras GRA-P01 2 Registro de entrega de recursos fisicos SGG/ Gerencia de Se debe dejar registro de los recursos físicos asignados a los usuarios. -F02 -F03 3 Gestión de inventario Ejecución de Inventario Actualización de Inventario SGG/ Gerencia de /Gerencia Financiera Actualización del inventario de los activos con el ingreso de nuevos recursos y/o dada de baja de equipos. 4 Gestión de Baja de Bienes GG/ SGG/ /Gerencia Financiera Dejar registro de la dada de baja de bienes, Seguir los lineamientos para la dada de baja de equipos RAEES 5 Gestión de Mantenimiento de bienes SGG/ Gerencia de 6 FIN VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 13 DE 15

14 PASO ACTIVIDAD RESPONSABLE OBSERVACIONES INICIO 1 GESTIÓN DE ÁREAS SEGURAS PARA PROTECCIÓN DE ACTIVOS SGG/DG/ GERENCIA DE 2 PERÍMETRO DE SEGURIDAD SGG/ Gerencia de 3 CONTROL DE ACCESO FÍSICO Y SEGURIDAD EN LAS OFICINAS PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES UBICACIÓN Y PROTECCIÓN DE EQUIPOS SERVICIOS DE SUMINISTRO SEGURIDAD EN LAS LÍNEAS DE TRANSMISIÓN SGG/ Gerencia de /Gerencia Financiera GG/ SGG/ /Gerencia Financiera 8 9 EQUIPOS FUERA DE LAS INSTALACIONES SEGURIDAD EN LA REUTILIZACIÓN O ELIMINACIÓN DE LOS EQUIPOS SGG/ Gerencia de FIN VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2015 PÁGINA 14 DE 15

15 PROCEDIMIENTO PARA ADMINISTRACIÓN DE RECURSOS FISICOS 8. CONTROL DE REGISTROS Nº IDENTIFICACIÓN software de inventarios service manageengine Servidesk Plus -F02 CONTROL DE ENTREGA Y DEVOLUCIÓN DE EQUIPOS CELULARES Y/O MÓDEMS INALÁMBRICOS -F03 Acta de Entrega de equipo -F04 Control de ingreso y salida de visitantes y equipos móviles -F05 Control de ingreso y salida de colaboradores horario extra laboral -F06 Registro de ingreso al cuarto de computo RPSABLE DEL ARCHIVO SGG/AA Recepcionista UBICACIÓN Archivo digital de Archivo de SGG Archivo de Recepción Recepcionista Recepción Archivo de ORDENACION (numérico, alfabético o cronológico) Alfabético DISPONIBILIDAD DE ACCESO GG/SGG/GF/Ge rencia SOPORTE Alfabético GG/SGG/DG Digital /Papel Cronológico GG/SGG/GF/Ge rencia Cronológico Cronológico Cronológico TIEMPO DE RETENCIÓN EN A -G TIEMPO DE RETENCION EN A -C DISPOSICIÓN FINAL Digital Permanente NA NA Papel 1 Año / Según Asignación Tiempo de Asignación al Usuario NA NA Eliminación Eliminación Público Papel 1 años NA Eliminación Público Papel 1 años NA Eliminación Papel 2 años NA Eliminación 7 -F07 Programa de mantenimiento anual /SGI/SGG Archivo SGI Cronológico GG/SGG/GF/Ge rencia Digital /Papel 1 Año NA Eliminación GG: Gerencia General DG: Dirección General SGG: Subgerencia GF: gerencia Financiera SGI; Sistema de gestión integral : Ingeniería, Tecnología y sistemas VERSIÓN Nº 8 VIGENTE DESDE EL 09 DE ENERO DE 2014 PÁGINA 15 DE 15