POLÍTICA DE USO DE DISPOSITIVOS FINALES
Código: POL-SI-005
Versión: 1.0
Fecha de aprobación: XX/XX/2026
Propietario: Dirección General de Informática (DGI)
Clasificación: Uso Interno
1. Objetivo
Establecer los lineamientos para el uso seguro de los dispositivos finales utilizados para acceder a los recursos tecnológicos de la Universidad Católica "Nuestra Señora de la Asunción", reduciendo los riesgos asociados a pérdida de información, accesos no autorizados, malware, robo de credenciales y otros incidentes de seguridad.
2. Alcance
Esta política aplica a:
Funcionarios administrativos.
Docentes.
Investigadores.
Autoridades.
Contratistas.
Becarios.
Pasantes.
Personal temporal.
Todo usuario autorizado de los sistemas institucionales.
Comprende los siguientes dispositivos:
Computadoras de escritorio.
Computadoras portátiles.
Tablets.
Smartphones.
Equipos virtuales.
Equipos institucionales.
Equipos personales autorizados (BYOD).
3. Definiciones
Dispositivo final (Endpoint)
Equipo utilizado por un usuario para acceder a recursos tecnológicos institucionales.
Equipo institucional
Dispositivo adquirido y administrado por la Universidad.
Equipo personal (BYOD)
Equipo propiedad del usuario autorizado para acceder a servicios institucionales.
Información institucional
Toda información producida, almacenada o procesada por la Universidad.
4. Responsabilidades
Dirección General de Informática
Será responsable de:
administrar las plataformas de gestión de dispositivos;
definir configuraciones de seguridad;
instalar software institucional;
aplicar actualizaciones;
responder a incidentes;
controlar el cumplimiento de esta política.
Responsables de cada unidad
Deberán:
velar por el correcto uso de los equipos asignados;
informar altas, bajas y cambios de usuarios;
comunicar incidentes.
Usuarios
Todo usuario deberá:
utilizar los equipos exclusivamente para actividades autorizadas;
proteger las credenciales de acceso;
reportar incidentes inmediatamente;
cumplir esta política.
5. Requisitos Generales
Todo dispositivo que acceda a recursos institucionales deberá cumplir como mínimo con los siguientes requisitos.
5.1 Sistema operativo
Debe encontrarse:
soportado por el fabricante;
actualizado;
con parches de seguridad instalados.
No se permitirá el uso de sistemas operativos fuera de soporte.
5.2 Antivirus
Los dispositivos deberán contar con:
solución antimalware aprobada por la DGI;
protección en tiempo real;
actualizaciones automáticas.
5.3 Firewall
El firewall del sistema operativo deberá permanecer habilitado.
No podrá ser deshabilitado por el usuario.
5.4 Actualizaciones
Las actualizaciones de seguridad deberán instalarse tan pronto como sea posible.
Los usuarios no deberán impedir las actualizaciones automáticas.
5.5 Software autorizado
Únicamente podrá instalarse software:
licenciado;
autorizado por la DGI;
necesario para las funciones laborales.
Se prohíbe instalar:
software pirata;
aplicaciones de origen desconocido;
herramientas de hacking no autorizadas;
software P2P;
criptominería;
software que comprometa la seguridad institucional.
6. Gestión de credenciales
Los usuarios deberán:
utilizar únicamente sus propias credenciales;
mantener confidenciales las contraseñas;
habilitar MFA cuando esté disponible;
bloquear el equipo al ausentarse.
Está prohibido:
compartir contraseñas;
almacenar contraseñas en papel visible;
guardar credenciales en archivos de texto.
7. Bloqueo automático
Los equipos deberán configurarse para:
bloquearse automáticamente luego de un período de inactividad;
requerir autenticación para reanudar la sesión.
8. Cifrado
Los dispositivos portátiles deberán utilizar cifrado de disco completo cuando sea técnicamente posible.
Ejemplos:
BitLocker
FileVault
LUKS
9. Almacenamiento de información
La información institucional deberá almacenarse preferentemente en:
servidores institucionales;
servicios en la nube autorizados;
repositorios administrados por la Universidad.
No deberá almacenarse información sensible de manera permanente en:
discos USB;
discos externos;
almacenamiento personal no autorizado.
10. Uso de dispositivos USB
Se permitirá únicamente cuando exista una necesidad institucional.
La DGI podrá restringir:
escritura;
lectura;
ejecución automática.
Todo dispositivo USB deberá ser analizado por el antivirus antes de utilizarse.
11. Uso de dispositivos personales (BYOD)
Los dispositivos personales podrán acceder a recursos institucionales únicamente cuando:
cumplan los requisitos mínimos de seguridad;
tengan antivirus actualizado;
utilicen autenticación fuerte;
acepten las políticas institucionales.
La Universidad podrá limitar el acceso de equipos que no cumplan estas condiciones.
12. Uso de redes
Los dispositivos deberán conectarse preferentemente mediante:
red institucional;
VPN institucional cuando corresponda.
Se recomienda evitar redes Wi-Fi públicas para acceder a información sensible.
13. Correo electrónico
Los usuarios deberán:
verificar remitentes;
evitar abrir archivos sospechosos;
reportar mensajes fraudulentos;
no reenviar cadenas de correos.
14. Navegación web
Está prohibido utilizar los dispositivos institucionales para:
descargar software ilegal;
acceder a sitios maliciosos;
ejecutar aplicaciones no autorizadas;
actividades que vulneren la legislación vigente.
15. Pérdida o robo
Ante pérdida o robo del dispositivo el usuario deberá comunicar inmediatamente a la DGI.
La Universidad podrá:
bloquear el acceso;
revocar certificados;
invalidar sesiones;
ejecutar borrado remoto cuando corresponda.
16. Monitoreo
La Universidad podrá realizar monitoreo de:
cumplimiento de configuraciones;
estado del antivirus;
versiones del sistema operativo;
eventos de seguridad;
inventario de hardware y software.
Este monitoreo tendrá fines exclusivamente institucionales y de seguridad.
17. Incumplimientos
El incumplimiento podrá dar lugar a:
suspensión del acceso a sistemas;
retiro del dispositivo institucional;
acciones disciplinarias;
acciones legales cuando corresponda.
18. Excepciones
Toda excepción deberá:
documentarse;
justificar el riesgo;
contar con aprobación de la Dirección General de Informática y de la autoridad competente;
establecer un plazo de vigencia.
19. Referencias
Esta política se fundamenta en:
ISO/IEC 27001:2022
ISO/IEC 27002:2022
NIST Cybersecurity Framework 2.0
CIS Controls Version 8
Legislación paraguaya aplicable en materia de protección de datos, delitos informáticos y firma electrónica.
Reglamento Interno de la Universidad Católica "Nuestra Señora de la Asunción".
Anexo A – Requisitos mínimos de seguridad
Todo dispositivo que acceda a recursos institucionales deberá cumplir, como mínimo, con los siguientes controles:
Control Requisito
Sistema operativo soportado Obligatorio
Actualizaciones automáticas Obligatorio
Antivirus activo Obligatorio
Firewall habilitado Obligatorio
Bloqueo