SDV-TI-PO-001 - Política integral de plataforma tecnológica y comunicaciones

Control de cambios 1. Objetivo 2. Alcance 3. Responsabilidades 4. Generalidades 5. Correo electrónico 6. Navegación en internet 7. Almacenamiento en la nube 8. Seguridad y control de malware 9. Inteligencia artificial 10. Incumplimiento y sanciones

Control de cambios

Fecha

Página

Rev.

Descripción de los cambios

19/Mayo/2026

Todas

00

Emisión inicial


1. Objetivo

Establecer las directrices para el uso, administración y seguridad de los activos tecnológicos, telecomunicaciones, servicios de correo electrónico y almacenamiento en la nube de Sadeven, garantizando la integridad de la información y la continuidad operativa siguiendo las buenas prácticas de gestión de servicios y ciberseguridad, la norma ISO 9001:2015, y las leyes vigentes.

2. Alcance

Esta política es de cumplimiento obligatorio para todo el personal de Sadeven Construcciones, S.A. (Oficina Administrativa, sedes de logística, frentes de obra y consorcios), así como para terceros que tengan acceso a la plataforma tecnológica de la empresa.

3. Responsabilidades

La gestión de la plataforma tecnológica es una responsabilidad compartida. Se establecen los siguientes niveles de autoridad y obligación:

3.1. De la Presidencia / Dirección Ejecutiva

  • Designación del Administrador: Facultad única de designar al Administrador de la plataforma de correo y recursos tecnológicos.
  • Autorización de Acceso Crítico: Autorizar de forma expresa el acceso a respaldos históricos o buzones de correo en casos de auditorías o gestiones administrativas.

3.2. Del Administrador de la Plataforma

  • Gestión de Ciclo de Vida: Ejecutar la creación, activación, bloqueo y desincorporación de las cuentas de acceso a las herramientas cubiertas por esta Política.
  • Integridad y Custodia: Garantizar el mantenimiento de registros históricos y respaldos (backups) periódicos de la data corporativa.
  • Mantenimiento: Realizar mantenimientos preventivos y correctivos para asegurar la continuidad operativa de los servicios.
  • Confidencialidad: El administrador tiene prohibido el acceso discrecional al contenido de la información de los usuarios, salvo instrucción escrita de la Presidencia o Dirección Ejecutiva.

3.3. De los Líderes de Área / Gerentes

  • Control de Accesos: Solicitar formalmente el alta o baja de recursos para su personal a cargo, alineado con las funciones del puesto.
  • Supervisión de Uso: Velar porque el personal bajo su mando utilice las herramientas tecnológicas estrictamente para fines profesionales.
  • Custodia de Información en Retiro: Indicar al Administrador, tras el retiro de un empleado, a qué buzón o repositorio se transferirá la data técnica para no perder la trazabilidad ni el registro histórico.

3.3. De los Usuarios, Externos y Contratistas.

  • Custodia de Credenciales: Responsabilidad absoluta sobre el secreto y uso de sus contraseñas. Ningún usuario debe compartir su clave con compañeros o terceros.
  • Reporte de Incidencias: Obligación de informar inmediatamente a TI sobre cualquier anomalía, sospecha de virus o pérdida de equipo.
  • Mantenimiento de Capacidad: Asegurar que las cuentas bajo su control se mantienen dentro de los límites de almacenamiento asignados.
  • Cumplimiento: Asegurar que las cuentas bajo su control cumplen con esta Política, las normativas y leyes vigentes.

4. Generalidades

Esta sección establece el marco de conducta y las reglas operativas básicas para cualquier persona que interactúe con la plataforma tecnológica de Sadeven Construcciones, S.A.

  • Principio de Propiedad Institucional: Todos los activos tecnológicos (hardware, software, cuentas de correo, dominios y espacios de almacenamiento en la nube) son propiedad exclusiva de Sadeven Construcciones, S.A. Por consiguiente, toda la información generada, procesada, enviada o almacenada en estos medios se considera un activo propiedad de la empresa.
  • Auditoría: La empresa se reserva el derecho de acceder, monitorear y auditar cualquier dato en sus plataformas para garantizar la seguridad de la información y la continuidad del negocio.
  • Estrictamente Profesional: Las herramientas tecnológicas, servicios de red y cuentas asignadas están destinadas exclusivamente al cumplimiento de los objetivos laborales de la empresa. Se prohíbe su uso para actividades personales, comerciales ajenas a la organización o de entretenimiento.
  • Prohibición de Contenido Inadecuado: Queda terminantemente prohibido almacenar, publicar, transmitir, distribuir o solicitar a través de la plataforma cualquier documento, imagen o comunicación:
    • Ilegal, fraudulento o que promueva conductas delictivas.
    • Difamatorio, amenazante, abusivo, pornográfico u obsceno.
    • Racista, discriminatorio o que incite al odio.
    • De naturaleza política, religiosa o proselitista que pueda menoscabar la imagen institucional.
    • Que pueda menoscabar o perjudicar a otras personas, instituciones o sus bienes.
  • Integridad del Software y Licenciamiento: Solo se permite el uso de software debidamente licenciado y autorizado por la Gerencia de TI. Está prohibida la instalación de programas "piratas", juegos, herramientas de minería de criptomonedas o aplicaciones que no tengan relación con el SGC.
  • Compromiso de Confidencialidad: Toda la información administrativa, técnica, operativa o de otra índole es propiedad de Sadeven Construcciones S.A. El usuario se compromete a no divulgarla a terceros sin autorización expresa, incluso después de haber finalizado su relación contractual.
  • Identidad y Credenciales: Las cuentas son de uso personal e intransferible. El usuario es responsable de toda actividad realizada bajo su sesión y debe asegurar que sus contraseñas cumplan con los estándares de seguridad definidos por TI, evitando compartirlas bajo cualquier circunstancia.

5. Correo electrónico

5.1 Disposiciones generales

  • Nomenclatura Estándar: Todas las cuentas corporativas seguirán el formato único:       nombre.apellido@dominio. No se permiten alias o seudónimos personales.
  • Uso de Clientes de Correo: El acceso podrá realizarse vía interfaz web (Webmail), aplicaciones móviles o clientes locales.
  • Asignación y Retiro: La creación de cuentas debe ser solicitada por el supervisor inmediato. Al producirse el egreso de un trabajador, el supervisor debe indicar por escrito al Administrador de que forma se manejará la data existente en el buzón.

5.2 Registro histórico y trazabilidad

  • Conservación de mensajes: Se mantendrá un registro íntegro de todas las comunicaciones (enviadas y recibidas) a través de todos los dominios de la empresa.
  • Custodia Centralizada: Este registro histórico debe ser resguardado en un lugar seguro definido por el Administrador.
  • Protocolo de Acceso: El acceso a la data histórica solo procederá mediante solicitud del Gerente General y autorización expresa de Presidencia.

5.3 Segmentación operativa

    5.3.1 Correo para personal fijo:

    • El buzón en el servidor tendrá una capacidad estándar de 30 GB (si el servidor lo permite).

    5.3.2. Correo para Obras, Consorcios y Empresas Asociadas:

    • El buzón en el servidor tendrá una capacidad estándar de 7 GB (si el servidor lo permite).
    • Autonomía de Dominio: Los proyectos podrán contar con dominios independientes según sea definido por la Gerencia del Proyecto con apoyo de IT.
    • Uso Obligatorio de Protocolo POP: En frentes de obra, la conexión a los servidores de correo debe configurarse de manera preferente bajo el protocolo POP.
    • Justificación Técnica: Los mensajes deben ser descargados en equipos locales para liberar espacio en el servidor y permitir la consulta de especificaciones técnicas o aprobaciones del cliente sin dependencia constante de la conexión a internet de la obra.
    • Mantenimiento de Servidor: Es responsabilidad del usuario en obra asegurar que el servidor no se sature, garantizando así la recepción ininterrumpida de información crítica.

6. Navegación en internet

6.1 Uso

  • Uso Primario: La navegación en Internet está destinada prioritariamente a actividades laborales como: Investigación, documentación, transmisión de información, acceso a plataformas y sistemas empresariales.
  • Restricciones de Streaming: Queda prohibido el uso de servicios de streaming de video o audio (YouTube, Netflix, Spotify, etc.) para fines no laborales, ya que estos degradan la calidad del servicio necesario para la operatividad de los demás usuarios.

6.2 Accesos Prohibidos

Está totalmente prohibido el acceso a sitios web, u otras plataformas, que representen un riesgo legal, ético o de seguridad. Queda terminantemente prohibido acceder, descargar o distribuir contenido relacionado con:

  • Pornografía y Material Obsceno: Cualquier sitio con contenido sexual explícito o inapropiado.
  • Juegos y Apuestas: Plataformas de azar, casinos en línea o videojuegos.
  • Actividades Ilegales: Sitios que promuevan el hackeo, piratería de software, o la descarga de material protegido por derechos de autor.
  • Violencia y Discriminación: Contenido que incite al odio, racismo, intolerancia religiosa o actividades terroristas.
  • Sustancias Prohibidas: Sitios que promuevan el uso o venta de drogas y sustancias ilegales.

6.3 Filtrado y bloqueo de contenido

La Gerencia de TI puede implementar restricciones de acceso a:

  • Sitios con contenido pornográfico, de apuestas, o que promuevan la violencia y discriminación.
  • Páginas de descarga de software no autorizado o intercambio de archivos P2P.
  • Sitios identificados como focos de phishing o distribución de malware.
  • Redes sociales y servicios de mensajería personal, salvo para usuarios cuyas funciones de comunicación institucional lo requieran y estén autorizados por su Líder de Área.

6.4 Monitoreo de tráfico

De acuerdo con el Principio de Propiedad establecido en esta política, Sadeven Construcciones, S.A. se reserva el derecho de monitorear los registros de navegación (logs) y el consumo de datos de cada usuario.

Este monitoreo tiene como fin detectar cuellos de botella en la red, intentos de intrusión, usos indebidos que contravengan las normas generales de la empresa, así como cualquier otra actividad que atente contra la seguridad de la información y la operatividad de la empresa.


7. Almacenamiento en la nube

Debido a las políticas de optimización de recursos y limitaciones de almacenamiento corporativo, el uso del almacenamiento en la nube se rige bajo un criterio de almacenamiento temporal y depuración constante.

 7.1 Uso como canal de transferencia

  • Finalidad Laboral: El espacio en la nube debe utilizarse exclusivamente para la carga de archivos que requieran ser compartidos con otros miembros del equipo, clientes o contratistas por razones estrictamente laborales.
  • Prohibición de Almacenamiento Permanente: No se permite el uso de la nube como repositorio final o histórico de documentos. Una vez que el archivo ha sido recibido o descargado por el destinatario correspondiente, el remitente original tiene la obligación de eliminarlo de la nube.
  • Depuración Obligatoria: Cada usuario es responsable de realizar la limpieza de su unidad de Drive, asegurando que no permanezca información que ya haya cumplido su ciclo de transferencia.

7.2 Resguardo de la información

  • Responsabilidad de Resguardo: Dado que la nube no es un sitio de almacenamiento definitivo, es responsabilidad obligatoria de cada Líder de Área y usuario asegurar que la versión final de los documentos sea guardada en el área designada (servidor local, estaciones de trabajo, almacenamiento externo).
  • Pérdida de Datos: La Gerencia de TI no se hace responsable por la pérdida de información que haya sido eliminada de la nube en cumplimiento de esta política si el usuario no realizó el debido respaldo en la infraestructura local de la empresa.

8. Seguridad y control de malware

8.1 Protección de Equipos y Antivirus

    • Uso Obligatorio de Antivirus: Todo equipo conectado a la red de la empresa debe tener instalado y activo el software antivirus corporativo definido por TI. Queda prohibido deshabilitar o modificar la configuración del antivirus sin autorización.
    • Escaneo de Dispositivos Externos: Antes de abrir cualquier archivo proveniente de unidades extraíbles (pendrives, discos duros externos) o dispositivos personales, el usuario debe realizar un escaneo completo con el antivirus.Actualizaciones de Seguridad: El usuario debe permitir la ejecución de actualizaciones automáticas del sistema operativo y parches de seguridad. La postergación indefinida de estas actualizaciones se considera un riesgo para la infraestructura.

8.2 Control de Software y Aplicaciones

    • Prohibición de Software No Autorizado: Está terminantemente prohibida la instalación de software que no cuente con la autorización corporativa de Sadeven Construcciones, S.A. Esto incluye programas "crackeados", juegos, herramientas de minería, o software de intercambio de archivos (P2P).
    • Software Gratuito o de Prueba: Incluso el software de uso gratuito (freeware) o versiones de prueba deben ser evaluados y autorizados por el Administrador de TI antes de su instalación, para evitar conflictos de sistema o brechas de seguridad.

    8.3 Prevención de Ingeniería Social (Phishing)

    • Correos Sospechosos: El usuario debe extremar precauciones ante correos electrónicos de remitentes desconocidos, con errores ortográficos marcados o que soliciten "urgentemente" clics en enlaces o descarga de archivos adjuntos.
    • Divulgación de Credenciales: Bajo ninguna circunstancia el personal de TI de la empresa solicitará contraseñas a través de correo electrónico o llamadas telefónicas. El usuario es el único custodio de su clave de acceso.

    8.4 Uso de Equipos Personales

 El uso de laptops o dispositivos personales debe cumplir con los mismos estándares de seguridad (antivirus y software autorizado) que los equipos propiedad de la empresa para evitar la introducción de malware en la red corporativa.

8.5 Reporte de Incidentes de Seguridad

Ante cualquier comportamiento inusual del equipo (lentitud extrema, aparición de ventanas emergentes, archivos cifrados o desaparición de documentos), el usuario debe:

    • Desconectar el equipo de la red (WiFi o cable).
    • Notificar de inmediato al Administrador de TI.
    • No intentar eliminar la amenaza por cuenta propia si esto implica el uso de herramientas externas no autorizadas.


9. Inteligencia artificial

9.1 Carácter de Herramienta de Apoyo

  • Suplemento, no Sustituto: El uso de herramientas de IA (como ChatGPT, Gemini, Copilot o similares) se permite exclusivamente como apoyo a la productividad, investigación y redacción. En ningún caso la IA sustituirá el juicio técnico, la validación o las responsabilidades.
  • Responsabilidad Humana: El usuario que utilice contenido generado por IA es el único responsable de la precisión, legalidad y calidad de dicho producto. Todo documento que incluya aportes de IA debe ser revisado exhaustivamente antes de su emisión oficial.

9.2 Protección de Activos e Información Confidencial

Queda terminantemente prohibido introducir, cargar o "entrenar" modelos de IA generativa públicos con los siguientes datos propiedad de Sadeven Construcciones, S.A.:

  • Ingeniería: Planos, memorias de cálculo, especificaciones técnicas de proyectos o metodologías constructivas propias.
  • Comercial: Estructuras de costos, presupuestos detallados, estrategias de licitación o listados de proveedores.
  • Legal y Personal: Bases de datos de trabajadores, nóminas, contratos con clientes o información sujeta a convenios de confidencialidad.
  • Seguridad: Códigos fuente de aplicaciones internas, configuraciones de red o credenciales de acceso.

9.3 Verificación de "Alucinaciones" y Sesgos

  • Validación de Fuentes: Dada la tendencia de las IA generativas a producir información plausible pero falsa (alucinaciones), es obligatorio verificar cualquier dato técnico, normativo o legal generado por la herramienta antes de incorporarlo a la Información Documentada (especialmente en procedimientos o informes técnicos).
  • Sesgo Técnico: El usuario debe asegurar que las recomendaciones de la IA se ajusten a la normativa local vigente en Venezuela  y a las exigencias específicas del cliente.

9.4 Propiedad Intelectual

  • Los resultados generados por IA en el ejercicio de las funciones laborales se consideran propiedad de la empresa, bajo el Principio de Propiedad establecido en esta política.
  • El usuario debe garantizar que el uso de la IA no infrinja derechos de autor de terceros al generar informes o diseños.

10. Incumplimiento y sanciones

El cumplimiento de esta política es obligatorio para todo el personal y terceros con acceso a la plataforma. Las infracciones serán tratadas de acuerdo con la gravedad de la falta y el impacto en la continuidad operativa de Sadeven Construcciones, S.A.

Se considerarán faltas a la presente política, de manera enunciativa más no limitativa:

  • Faltas Leves: Descuido en la depuración del correo, uso ocasional del ancho de banda para fines personales no críticos.
  • Faltas Graves: Instalación de software no autorizado, compartir contraseñas con terceros.
  • Faltas Críticas: Acceso o distribución de material prohibido (Definidos en los puntos 4 y 6.2 de esta política), fuga de información confidencial, sabotaje de sistemas o uso de la plataforma para actividades delictivas.

Ante el incumplimiento de cualquiera de los puntos establecidos en este documento, la empresa aplicará las siguientes sanciones, según la gravedad y reincidencia:

  • Amonestación Verbal: Para faltas leves iniciales.
  • Amonestación Escrita: Con copia al expediente del trabajador (Talento Humano).
  • Suspensión de Accesos: Bloqueo de cuenta de correo o internet, puede ser temporal o definitiva teniendo en cuenta gravedad y reincidencia.

Independientemente de las sanciones administrativas, Sadeven Construcciones, S.A.se reserva el derecho de ejercer las acciones legales (civiles o penales) pertinentes si el mal uso de la plataforma tecnológica causa daños económicos, pérdida de propiedad intelectual o compromete la responsabilidad de la empresa ante clientes y autoridades.