Actividad 21 - SGI LAMAT
Villahermosa, Tabasco a 25 de Noviembre 2025
Instrucciones:
Fecha limite de entrega: 1 de Diciembre 2025
Instrucción:
- Leer y comprender la infografía
- Leer y comprender la política de proceso disciplinario https://nextcloud3.grupolamat.com.mx/s/oXPiQMW5CbpnPmd
- Mencionar el alcance y da 3 ejemplos de cumplimiento y de sanciones que se puede tener.
El comentario de tu aportación deberá contener mínimo 250 palabras, así como nombre y puesto al final de tu comentario.
Actividad 21. Proceso Disciplinario
Dentro del alcance de esta política de la seguridad e la información, involucra a todo el personal que pertenezca a la organización, así como a los contratistas y personal temporal dentro de la organización.
Para tener un cumplimiento efectivo de la política, es necesario seguir los canales oficiales de comunicación para compartir información, como el correo electrónico o el nextcloud que pertenecen a la organización. Tratar de reservar información confidencial y solo compartirla al personal involucrado en los procesos, evitando que los colaboradores ajenos al proceso involucrado tengan acceso a información que no les corresponde. Participar de manera continua en las capacitaciones, platicas, talleres con respecto a la política de SGSI para conocer procesos, actualizaciones y maneras de aplicar los lineamientos dentro de la organización.
En relación a acciones de cumplimiento del SGSI.
1. Llamada de atención de manera verbal en caso de presentarse un caso de mal uso de la información que no involucre de manera critica algún proceso o simplemente sea una falta menor.
2. Aplicar las sanciones administrativas correspondientes (incidencia o acta administrativa) en caso de presentarse algún caso de mal uso de la información de la empresa.
3. Recisión de contrato en caso de encontrarse mal uso de la información por parte de un colaborador y en caso de aplicar llegar a instancias legales para reparar los daños que puedan presentarse dentro de la organización.
Sergio Iván García Toledo – Jefe de capacitaciones
La gestión de la seguridad de la información es el proceso sistemático de definir, implementar y gestionar controles para proteger los activos de información de una organización contra amenazas y vulnerabilidades.
1. La naturaleza y gravedad de la infracción y sus consecuencias
2. Si fue intencional o no intencional
3. Si se trata de una primera vez o ya se ha repetido
4. Si el infractor recibió la capacitación adecuada
El estándar internacional más reconocido para establecer un SGSI es la norma ISO 27001.
Me parece de suma importancia la creación de una política interna respecto a la seguridad de la información de la compañía y que cuando haya alguna mala práctica esta sea sancionada, la política en general resume que al incurrir en un mal uso de la información
La sanción tiene 3 niveles dependiendo de su tipo de infracción (baja, media y grave)
Baja: incumplimiento de la política o procedimiento mal ejecutado por primera vez (Incidencias, advertencias verbales al personal, notificación por escrito al personal o su jefe inmediato)
Media: incumplimiento u omisión de la política o procedimiento por mas de una vez (actas administrativas, suspensión parcial de las actividades, descuento salarial)
Sayra Briyit de la Cruz Barahona
Responsable ambiental
Dentro de los alcances de la Política del Proceso Disciplinario del SGSI de esta política aplica a todo el personal de la organización así como a los empleados contratistas, personal temporal así como cualquier parte interesada que tenga acceso a los sistemas de información de la organización.
Tres ejemplos de cumplimiento:
1.-Respetar la Política General de seguridad de la información.
2.-No compartir información que sea estrictamente confidencial.
3.-No disponer de los equipos otorgados para realizar nuestro trabajo para utilizarlos de uso personal.
Tres ejemplos de sanciones:
1.-Compartir nuestras contraseñas de correos electrónicos para que cualquiera tenga acceso.
2.-Brindar información confidencial a terceras personas.
3.-No respetar el reglamento interno del trabajo.
CLAUDIA YANETH SILVÁN PÉREZ / RESPONSABLE CCP
Mencionar el Alcance:
El alcance de la política es para todo el personal de la organización, incluyendo empleados contratistas y personal temporal, asi como a otras partes interesadas relevantes que tengan acceso a los sistemas de informacion de la organización.
Entiendo que el alcance es a todo el personal al interior y al exterior de la organización que tengan acceso a los sistemas de información de Lamat.
Dar 3 ejemplos de cumplimiento y de sanciones que se puede tener.
1.-COLABORAR EN LA IMPLEMEMTACION DE ACCIONES DISCIPLINARIAS
2.-REPORTAR VIOLACIONES SOSPECHOSAS DE LA POLITICA DE SEGURIDAD DE LA INFORMACION
3.-CUMPLIR CON LA POLITICA DE SEGURIDAD DE LA INFORMACION Y LOS PROCEDIMIENTOS RELACIONADOS.
SANCIONES: NIVEL BAJA: reportes de incidencia, advertencias verbales al colaborador, notificaciones escritas al colaborador y a su jefe inmediato,
SANCIONES NIVEL MEDIA: acta administrativa y/o suspensión parcial de actividades, descuento salarial, suspensión temporal de accesos a sistemas.
SANCIONES NIVEL GRAVE: Sanciones Económicas, Terminación Laboral con proceso legal, Baja Automática
Cumplir las normas establecidas por el area de TI es fundametal para poder mantener todos los datos y archivos seguros, ya que al hacer un mal uso de los equipos puede llevar a la perdida de datos, de acuerdo con los articulos mencionados en el nexcloud existen diversas sanciones dependiendo del tipo de violacion o incumplimiento, y en los personal estoy de auerdo pero no en su totatilidad ya que consideron que se necesita ajustar un poco los margenes de riesgos para definir que nivel es, bajo, medio o alto y para eso quiero plasmar mi punto de vista.
nivel bajo: un llamo de atencion berval para explicarle al personal que fue lo que hizo mal
nivel medio: sancionar al empleado con un acta administrativa
nivel alto: requiere de la destitucion del colaborador de su puesto.
Lazaro Hernandez Esteban
Monitorista
La Política del Proceso Disciplinario del SGSI (Código: SGSI-6.4), con vigencia a partir de junio de 2025, establece el marco formal para manejar las violaciones a la seguridad de la información dentro de la organización. Su alcance es integral y obligatorio para todo el personal, incluyendo empleados permanentes, contratistas, personal temporal y cualquier otra parte interesada externa que, en el ejercicio de sus funciones, tenga acceso a los sistemas, datos o infraestructura informática de la empresa. El objetivo central de esta política es triple: garantizar la comprensión de las consecuencias de infringir las normas, actuar como un elemento disuasorio efectivo y proporcionar un proceso justo y escalonado para tratar las violaciones confirmadas, asegurando que la respuesta sea proporcional, legal y alineada con los principios de confidencialidad y debido proceso.
Para ilustrar el cumplimiento esperado, se pueden citar tres ejemplos concretos: primero, un gerente que, al identificar una configuración errónea en un servidor bajo su responsabilidad, la reporta de inmediato al equipo de seguridad siguiendo el canal oficial, mitigando así un riesgo potencial. Segundo, un analista que, tras recibir una solicitud de información confidencial por un medio no verificado, se abstiene de proporcionarla y valida la identidad del solicitante a través del procedimiento establecido, previniendo un posible engaño. Tercero, un equipo completo que completa y documenta la capacitación anual obligatoria en concienciación sobre phishing, demostrando un compromiso proactivo con la cultura de seguridad.
Por el contrario, las sanciones derivadas del incumplimiento son graduales y se determinan tras una investigación. Para tres ejemplos de sanciones aplicables serían: 1) Por una falta leve, como no haber asegurado físicamente una sala de servidores en una ocasión, una amonestación formal escrita que se incorpora a su expediente y la obligación de completar un curso específico de reforzamiento. 2) Por una falta media, como la omisión repetida en la revisión de los registros de acceso de administradores, pudiendo derivar en una suspensión temporal de sus privilegios de administración en sistemas críticos y una evaluación de desempeño con impacto en sus objetivos. 3) Por una falta grave, como la negligencia deliberada que permita una brecha de datos masiva o el acceso no autorizado a información estratégica, la destitución inmediata del cargo, la iniciación de un proceso legal por los daños causados y la inhabilitación para ocupar puestos similares en el futuro, además de las posibles sanciones económicas que determine la organización.
El proceso disciplinario es un procedimiento interno de la organización en el cual se investigan faltas de los empleados y establecer sanciones en caso determinado. Su objetivo es que el personal sepamos que consecuencias de incumplir las políticas de seguridad de información, aplicable a todo el personal.
Hay varios factores a considerar como la gravedad y las consecuencias, si fue intencional, si fue primera ocasión o si la persona que incurrió en la violación recibió la capacitación. Asi como varios tipo de sanciones de baja a grave. Por ejemplo:
Cumplimiento de la política de proceso disciplinario:
1. Uso de EPP en instalaciones/ obras donde son requeridos, el no usaarlo sería un incumplimiento de un procedimiento critico de Pemex y política de la empresa, por lo que podemos ser acreedores a capacitaciones extras, etc
2. Realizarnos el alcoholímetro al llegar a nuestro sitio de trabajo es un cumplimiento, ya que Llegar bajo la influencia de alcohol, es una clara violación a la política de la empresa y de la ley Federal del Trabajo, puede ser causa de baja, suspensión de actividades y descuento salarial.
3. No compartir equipos donde tengamos información de la empresa, subir únicamente al nextcloud la información, etc es parte del cumplimiento. Sin embargo, el extraer información confidencial de la empresa o compartir información con personal que no debemos es una infracción grave que puede llevar a la baja inmediata de la empresa.
QUYRYAT J VARGAS ADRIAN
SUP. AMBIENTAL
El alcance de la política del proceso disciplinario del sgi aplica para todo el personal de la organización incluyendo empleados contratistas y personal temporal así como otras partes interesadas relevantes que tengan acceso a los sistemas de información de la organización como supervisor ambiental en obra el cumplimiento de esta política se enfoca en proteger los activos de información de la organización tres ejemplos de cumplimiento incluyen la custodia de documentación confidencial esto que aplica en manifestaciones impacto ambiental resolutivos de impacto ambiental y permisos o datos sensibles de la obra relacionados con el sgi estos deberán estar almacenados en forma segura física o digitalmente y que el acceso esté restringido solo a personal autorizado los reportes incidentes ambientales reportar inmediatamente por correo electrónico al supervisor directo o al departamento ambiental de la información que se genere en tiempo real adherencia a controles de acceso utilizar solo las credenciales y accesos asignados para consultar o registrar información en los sistemas de la empresa cómo va a ser datos de seguimiento de residuos o plataformas de gestión y no compartirlas con terceros, las sanciones son graduadas y dependen de los factores como la naturaleza gravedad si fue intencional o no o si es una ofensa repetitiva las infracciones son acumulativas a continuación se presentan tres posibles sanciones según el nivel de infracción infracción baja no intencional por primera vez olvidar temporalmente bloquear su estación de trabajo computadora tablet o teléfono de la empresa en la oficina en obra dejando expuesta información no crítica sanción típica advertencias verbales al colaborador notificaciones escritas al colaborador y a su jefe inmediato y o capacitación adicional infracción media ejemplo incumplimiento de la política que ocasione daño parcial o reincidencia almacenar documentos confidenciales de obra en una nube personal no autorizada contraviniendo un procedimiento de manejo de datos lo que resulta una exposición parcial y controlable de la información sanción acta administrativa suspensión parcial de actividades descuento salarial o suspensión temporal de accesos a sistemas infracción grave ejemplo robo de información o daño cerebrero de la reputación extraer datos de la organización como planos modelos de ingeniería protegidos para beneficio personal o de un tercero causar daño total o severo a la información o reputación de la empresa aquí habrían sanciones económicas terminación laboral con proceso legal o baja automática.
Gloria del Carmen Ovando Pérez
Supervisor ambiental
Del flayer he comprendido que el proceso disciplinario es un procedimiento legal que se ocupa para determinar si se sanciona o no a la persona, empresas o quien resulte responsable de las fallas que resulten en la organización.
Que debe quedar claro las sanciones que se puedan emitir en caso de tener alguna irregularidad y que todos absolutamente todos podríamos ser acreedores a estas sanciones dentro de la corporación.
La violación de la política debe ser reportada inmediatamente a nuestros jefes o bien directamente al área de TI para poder proceder con las investigaciones y sanciones pertinentes.
Las sanciones son acumulativas independientemente del tiempo que transcurra entre una sanción y otra, esto puede afectar la disciplina del colaborador.
Hay sanciones baja, media y alta:
Las bajas son las que por primera vez se realizan, posterior a ellas están las medias que ya son aquellas que tienen recurrencia o que se omita el cumplimiento de la política y las altas son cuando ya se cae en el robo de la información.
Las sanciones ban desde incidencias, actas administrativas, descuentos, suspensión de labores y asta bajas definitivas.
Un claro ejemplo podría ser si se comparte una información si autorización de alguna autoridad se puede ser acreedor a una sanción como incidencia o acta administrativa dependiendo la información que se comparta y la gravedad en el impacto que se tenga.
Otro ejemplo más podría ser robar contraseñas para extraer información, esto sería una sanción alta o grave que puede ser acreedora a una sanción de baja definitiva.
JOSEFINA RUIZ ZAVALA
RESPONSABLE DE SEGURIDAD
Tomando en cuenta la “Política del proceso disciplinario del SGSI”, se mencionan los siguientes ejemplos:
De cumplimiento:
1. Cumplir con la política o procedimientos
2. Cumplir con la política o procedimientos sin omitir, que ayuden a no sufrir ningún impacto de daño a la organización y que no sea la segunda vez.
3. No robar la información, cumplir con la política para evitar danos total o severo de la reputación del Grupo Lamat.
Sanciones que incumplan lo anterior: existen tres tipos de sanciones
1. Baja. Por incumplimiento de la política y por primera vez, incidencia y advertencias verbal al colaborador, notificaciones escritas al colaborador y su jefe inmediato. Se da capacitación e incrementa la supervisión.
2. Media. Por incumplimiento de la política y por segunda vez que ha ocasionado un impacto parcial desfavorable a la empresa, se procede a acta administrativa, suspensión parcial, descuento salarial y/o suspensión temporal de acceso a sistemas.
3. Grave. Por incumplimiento de la política, pero incluye robo de información que cause un daño severo a la empresa, serán aplicada según sea la gravedad, sanciones económicas, terminación laboral con proceso legal y baja automática.
Lo anterior, dependerá de la investigación y verificación de cada una de las acusaciones que se realicen vía correo, antes de aplicar dichas sanciones.
Griselda Moscoso Olán || Jefe de Control de Obr
Mencionar el alcance y da 3 ejemplos de cumplimiento y de sanciones que se puede tener.
El comentario de tu aportación deberá contener mínimo 250 palabras, así como nombre y puesto al final de tu comentario
3 ejemplos de cumplimiento:
1.- Mantener la informacion respaldada desde mi puesto de trabajo como supervisor de salud, datos confidenciales de trabajadores, numeros de contacto de emergencia, padecimientos. Esta informacion tenerla en la nube nexcloud como proteccion ante un robo de informacion.
2.- Mantener la confidiancialidad de todos los procesos constructivos que maneja la empresa, asi como lo procesos del SGI.
3.- Realizar cualquier reporte a los jefes inmediatos cuando se identifique alguna violacion de los procesos.
3 ejemplos de sanciones:
1.- Nivel de infracción baja: Reporte de incumplimiento puede ser verbal , llamada de atencion.
2.- Nivel de infracción Media: minuta o actas administrativas se analiza el hecho y si se tiene perdidas el descuento salarial.
3.- Nivel de infracción Grave: Termino de contrato,
Angel mario lopez hernandez
Supervisor de salud.
El alcance se aplica a todo el personal de la organización, incluyendo empleados, contratistas y personal temporal, así como a otras partes interesadas relevantes que tengan acceso a los sistemas de información de la organización.
Algunos de los ejemplos de cumplimiento se pueden tener son los siguientes:
1. Respetar la política sobre el consumo de alcohol y drogas
2. Usar exclusivamente la información y documentación confidencial solo para lo que se requiera y que solo el personal a cargo o que este autorizado tenga acceso
3. Hacer un uso adecuado de la información de la organización y tener en cuenta que información se debe de compartir tanto a proveedores o a otras áreas
Algunos de los ejemplos de sanción que se pueden tener son los siguientes:
1. Reporte de incidencias
2. Acta administrativa o suspensión parcial de actividades
3. Sanciones económicas
Josué Cupido Collado
Presupuestos
El alcance del punto 6.4 del SGI “Política del proceso disciplinario”; especifica que es aplicable a todo personal de la organización, incluyendo al personal temporal, así como a los contratistas.
Entre los ejemplos de cumplimiento de esta política podría mencionar los siguientes:
1. Respetar el uso de la información con la que se trabaja en la organización. Esto al momento de compartir la información entre las mismas áreas e incluso con el cliente., así como también mantener un resguardo seguro de nuestra información dentro de nuestro equipo de cómputo.
2. Respetar el código de conducta dentro de la organización. El desarrollarnos con respeto y ética profesional dentro de nuestras actividades.
3. Almacenamiento en el nextcloud. Es nuestro deber mantener una organización precisa y clara para cualquier persona que tenga acceso a ella.
Dentro de las sanciones están clasificadas por niveles los cuales son: baja, media y grave.
1. Baja. Podría consistir en un reporte de incidencia, advertencias de manera verbal o escritas al trabajador y supervisión constante.
2. Media. Implica un acta administrativa, suspensión parcial de las actividades, algún tipo de descuento vía nomina o suspensión temporal de acceso al sistema.
3. Grave. Sanciones económicas vía nómina, baja inmediata o incluso podría llegar a ser terminación laboral y proceso legal.
Janeth Cruz Bautista
Auxiliar PMP
Cuando de habla del proceso disciplinario hace referencia a aquel mecanismo que tiene una empresa para revisar e investigar cuando los trabajadores posiblemente están incumpliendo alguna norma en este caso interna, ir analizando los comportamientos que podrían ir en contra de los deberes en lo laboral, de las reglas ya establecidas o del uso adecuado de aquellos derechos y funciones que cada persona tiene dentro de la empresa. Si luego de investigaciones se confirma que hay alguna falta, entonces se deberían aplicar medidas que van desde llamadas de atención (ya sea verbal o escrito) e incluso suspensiones laborales, e igual depende la gravedad de la falta, del asunto y de lo que está indicando nuestro reglamento interno, ya que este tiende a ser algo amplio y la idea es asegurarse de que cualquier persona que participe en las actividades de la empresa si cumpla con las normas de seguridad, la confidencialidad y claro, destacar el comportamiento profesional y de calidad que conlleva. Algunas formas prácticas de hacerlo es en reportar de inmediato cualquier irregularidad que se detecte en caso de algún comportamiento extraño, accesos no autorizados, alguna fuga de información o en general cualquier incumplimiento de seguridad es vital comunicarlo de inmediato. Otro aspecto sería mantener la confidencialidad de la información del proyecto, los clientes y principalmente de la empresa. De igual forma, sería de mucha utilidad el promover el buen ambiente laboral, evitando rumores, tratos irrespetuosos o cualquier conducta que afecte al equipo. Y finalmente, asegurarse de que el equipo conozca las normas, recordando la importancia de seguir los protocolos de seguridad y sobre todo de respetar los lineamientos corporativos. GLORIA STEPHANIA PEREZ VAZQUEZ / AUXILIAR PMP
La presente política aplica a todo el personal de la organización, incluyendo colaboradores, contratistas, proveedores, personal temporal que tengan acceso a los sistemas o a la información de la empresa.
El cumplimiento adecuado de esta política es fundamental para asegurar el uso responsable y seguro de la información generada en nuestros procesos de trabajo, así como de aquella que manejamos como usuarios. Somos responsables directos de la protección de los datos como el uso correcto de los equipos y herramientas tecnológicas que utilizamos dentro de la empresa.
Todo recurso, información o dispositivo de la empresa debe ser utilizado con el cuidado y responsabilidad debida, siendo conscientes de que la información es algo muy importante para la empresa.
La empresa será responsable de investigar las violaciones a la política de seguridad de la información que sean reportadas.
Asimismo, todos los empleados tenemos el compromiso de cumplir con la política de seguridad y los procedimientos relacionados.
Es obligación de cada colaborador reportar de manera oportuna cualquier sospecha de violación o actividad que pudiera generar un daño, riesgo o impacto negativo a la empresa, a su información o a sus sistemas tecnológicos.
Ejemplos de Cumplimiento
1. Control de acceso a la información
llevar una relación del personal que tiene acceso a cada información en especifico, esto incluye carpetas en la nube, equipos de cómputo, discos duros, entre otros
2. Utilizar contraseñas seguras en los equipos y sistemas.
3. Aumentar las medidas de seguridad establecidas, como el envío de información únicamente mediante correos institucionales autorizados y el uso de canales seguros.
Ejemplos de Sanciones
1. Reporte de Incidencia, advertencia verbales
2. Acta administrativa, descuento salarial
3. Terminación laboral.
Heberto Castellanos Alvarez
Control de obra
La gestión de la seguridad de la información es el proceso sistemático de definir, implementar y gestionar controles para proteger los activos de información de una organización contra amenazas y vulnerabilidades. Su objetivo principal es salvaguardar la confidencialidad, integridad y disponibilidad de los datos.
Sus objetivos principales de acuerdo a lo establecido son
Confidencialidad: Garantizar que la información solo sea accesible para aquellos autorizados a tener acceso a ella.
Integridad: Salvaguardar la exactitud y totalidad de la información y los métodos de procesamiento, previniendo modificaciones no autorizadas.
Disponibilidad: Asegurar que los usuarios autorizados tengan acceso a la información y a los activos asociados cuando sea necesario.
Uno de los elementos claves segun logromcomprender son
La gestión eficaz de la seguridad de la información implica varios componentes:
Sistema de Gestión de Seguridad de la Información (SGSI): Un conjunto de políticas, procedimientos y directrices que gestionan sistemáticamente la seguridad de la información dentro de una organización. El estándar internacional más reconocido para establecer un SGSI es la norma ISO 27001.
Evaluación y Gestión de Riesgos: Identificar, analizar y tratar los riesgos a los que están expuestos los activos de información.
Controles de Seguridad: Implementar medidas técnicas (ej. cifrado, firewalls), organizativas (ej. políticas, procedimientos) y físicas para mitigar los riesgos identificados.
Continuidad del Negocio: Asegurar que las operaciones críticas puedan continuar o reanudarse rápidamente en caso de un incidente de seguridad.
Monitoreo y Respuesta a Incidentes: Vigilar continuamente el sistema para detectar y responder eficazmente a cualquier brecha o ataque de seguridad.
Esta política del proceso disciplinario del SGSI nos aplica a todo el personal de grupo LAMAT incluyendo a los contratistas y partes interesadas involucrados.
Esta política asegura que nosotros como empleados y partes interesadas tengamos conocimiento y comprendamos las consecuencias de no hacer uso de la información correctamente y de las medidas a tomar en caso de violentarla o hacer mal uso de ella, así como el proceso disciplinario que se ejecutaría en respuesta a ellas al hacer mal uso.
Diversas áreas en conjunto con recursos humanos serán los encargados de investigar las violaciones reportadas y todos nosotros como empleados tenemos el compromiso de cumplir con la política de seguridad y los procedimientos relacionados a ella, así como reportar cualquier violación sospechosa que provoque o genere un daño a la empresa.
Algunos ejemplos de cumplimiento de la política son:
1. Cumplir todas las políticas y protocolos de la empresa.
2. Usar exclusivamente la información y documentación confidencial solo para lo que se requiera y que solo personal autorizado tenga acceso a ella.
3. No dar permiso a otra persona a nuestros equipos de trabajo. Que puedan manipular y hacer mal uso de la información.
Algunos ejemplos de sanciones son:
1. Baja definitiva
2. Actas administrativas
3. Sanciones económicas
Considero que, si somos profesionales con ética y valores, es nuestro deber cumplir con las políticas establecidas, seguir los procesos y actuar siempre con responsabilidad. El uso adecuado de la información y de la documentación de la empresa forma parte esencial de nuestras funciones.
Ser personas íntegras y con principios es lo que nos define, y utilizar de manera correcta la información que no nos pertenece demuestra nuestro compromiso con la organización y con nuestro trabajo, y eso es lo que habla por nosotros.
Leydi Paola García Morales
Jefa de Presupuestos y Licitaciones
ALCANCE
Esta política aplica a todo el personal de la organización, incluyendo:
1. Empleados,
2. Contratistas, y
3. Personal temporal,
Así como otras partes interesadas relevantes que tengan acceso a los sistemas de información de la empresa.
El alcance cubre cualquier acción u omisión relacionada con el cumplimiento de la política de seguridad de la información, las políticas específicas y los procedimientos del SGSI aplicables a protección, acceso, uso, tratamiento y resguardo de la información de Grupo LAMAT.
EJEMPLOS DE CUMPLIMIENTO
1. Notificar oportunamente una sospecha de violación
El colaborador informa de inmediato por correo electrónico a su supervisor o al área de Seguridad de la Información cuando detecta un acceso inusual, correo sospechoso o actividad no autorizada.
2. Seguir correctamente los procedimientos y políticas
El personal aplica en su trabajo diario las directrices de seguridad (clasificar documentos, usar contraseñas robustas, proteger equipos, no compartir accesos).
3. Participar en la capacitación obligatoria del SGSI
El colaborador asiste y aprueba las sesiones de formación sobre seguridad de la información, prevención de incidentes y manejo adecuado de los activos, tal como lo marca la política.
EJEMPLOS DE SANCIONES
1. Infracción leve (nivel Baja)
Ejemplo: Un colaborador omite seguir un procedimiento por primera vez (no bloquear pantalla, enviar archivo sin clasificación).
Posibles sanciones:
• Reporte de incidencia
• Advertencia verbal
• Notificación escrita al colaborador y a su jefe inmediato
• Capacitación adicional
2. Infracción media (nivel Media)
Ejemplo: El colaborador reincide en no seguir un procedimiento, generando impacto parcial (compartir sin querer un documento interno fuera del área permitida).
Posibles sanciones:
• Acta administrativa
• Suspensión parcial de actividades
• Descuento salarial
• Suspensión temporal de accesos a sistemas
3. Infracción grave (nivel Grave)
Ejemplo: Robo de información, divulgación no autorizada, manipulación dolosa de datos o una tercera reincidencia.
Posibles sanciones:
• Sanciones económicas
• Terminación laboral con proceso legal
• Baja automática
El objetivo de la política del proceso disciplinario es de aplicación para todo el personal que participa en el corporativo, contratistas y/o proveedores, el proceso disciplinario se refiere a una serie de acciones formales tomadas en respuesta a una acción negativa con respecto a la política seguridad de la información.
Cumplimientos:
1.- Respetar la política sobre el consumo de alcohol y drogas, este evento puede darse *1.- no realizar el consumo dentro de las instalaciones y *2.- No llegar con efectos de alcohol o droga al trabajo.
2.- El cuidado de los equipos que son asignados, los cuales solo se deben usar para realizar actividades de la organización, además de estar al pendiente de su buen funcionamiento.
3.- Respaldar toda la información generada en la organización en el nextcloud.
Sanciones.
Llamados de atención de forma verbal.
Dependiendo la gravedad se pueden aplicar actas administrativas o incidencias.
Suspensión temporal y/o en su caso baja definitiva.
En relación al sistema de gestión de seguridad de la empresa, estoy consciente de la obligación y consecuencias que puedo ser sancionado con el uso indebido de la información que pase por mí, así como el de infringir una política en la cual establezca de manera formal el uso de dicha información, mi responsabilidad es el de realizar bloqueo de mi equipo, así evitando extracción de información delicada, por lo que conlleva que el comité disciplinario, sean lo que dicte el tipo de sanción para que no se repita dicha infracción. También es de suma importancia el de respaldar la información con el área de TI, en los sistemas autorizados. Tambien es de responsabilidad de cada usuario el de abrir enlaces ajenos a la empresa, por lo que el uso exclusivo de los equipos proporcionados solo sea para temas de la empresa y no realizar actividades de uso personal.
Lic. Hugo Antonio Patiño Hernández
Jefe de Administración de Proyectos y Acarreo
En el sistema de gestión de seguridad de la información en la organización, el alcance que se obtiene es que nos hacen saber que esta se aplica para todo el personal que labora dentro de la misma y para contratistas y para las partes interesadas que influyen en alguno de los procesos que se llevan a cabo los cuales tienen acceso a información digital o física de la empresa.
Como ejemplos de cumplimiento en el proceso disciplinario, puedo decir que se cumple con las políticas que nos son compartidas y dentro de ellas se encuentran el no compartir información a terceros como un extraño que no tiene nada que ver con la organización o el compartir datos con otras áreas cuando no nos han dado alguna orden nuestros superiores, no extraer información de la empresa ya que se podría detectar en los equipos que nos son asignados y el no dejar a la vista documentación impresa que es delicada a la vista de todos o incluso no dejando las pantallas abiertas cuando no nos encontramos en nuestros lugares asignados, en caso de que se incumpla alguna política o procesos internos.
Dependiendo del nivel de importancia la sanción podría ser:
Baja y en esta aplica una incidencia, una advertencia verbal y/o escrita, en una sanción.
Media podría ser que se aplique un acta administrativa, descuento salarial o la revisión de equipos como la laptop y el celular que le fueron asignados por parte de la empresa
Grave, esta podría ser una sanción económica, la baja total del colaborador y abría un proceso legal.
Hilda Patricia Landero Córdova
Analista IMSS
Me parece de suma importancia la creación de una política interna respecto a la seguridad de la información de la compañía y que cuando haya alguna mala práctica esta sea sancionada, la política en general resume que al incurrir en un mal uso de la información se llevara a cabo un proceso disciplinario formal en el cual los factores a considerar al aplicar una sanción son los siguientes:
1. La naturaleza y gravedad de la infracción y sus consecuencias
2. Si fue intencional o no intencional
3. Si se trata de una primera vez o ya se ha repetido
4. Si el infractor recibió la capacitación adecuada
Derivado de eso y de la investigación previa se determinará la acción disciplinaria adecuada la cual será proporcional la gravedad de la violación de las políticas de la organización.
La sanción tiene 3 niveles dependiendo de su tipo de infracción (baja, media y grave)
Baja: incumplimiento de la política o procedimiento mal ejecutado por primera vez (Incidencias, advertencias verbales al personal, notificación por escrito al personal o su jefe inmediato)
Media: incumplimiento u omisión de la política o procedimiento por mas de una vez (actas administrativas, suspensión parcial de las actividades, descuento salarial)
Grave: robo de información, incumplimiento de política que cause daño total o severo a la empresa, (sanciones económicas, baja definitiva, terminación laboral con proceso legal)
Alma Selene Pérez Gurría
Responsable de Libros de Proyectos
El alcance de la política de proceso disciplinario del sistema de gestión en sistemas informáticos es aplicable para todo el personal de la organización, incluidos contratistas, personal eventual, empleados, partes interesadas que tengas acceso a los sistemas de información de la organización.
Tres ejemplos de cumplimiento del proceso disciplinario del sistema de gestión en sistemas informáticos:
1. Resguardar la información en las nubes autorizadas por el área de tecnologías de la información con la finalidad de que no se pierda documentación importante
2. No conectarse a redes wifi publicas
3. No ingresar a paginas que vulneren la seguridad informática de los dispositivos.
Tres sanciones por incumplimiento del proceso disciplinario:
1. Baja: reporte de incidencia, advertencias verbales al colaborador, notificaciones escritas al colaborador y jefe inmediato, capacitación adicional, supervisión incrementada.
2. Media: acta administrativa y o suspensión parcial de actividades, descuento salarial, suspensión temporal de accesos a sistemas.
3. Grave: sanciones económicas, terminación laboral con proceso legal, baja automática.
Perla Zizinette Soberano Nieto
Jefe de contabilidad.
El sistema de gestión de la seguridad de la información es una política la cual es aplicable para todo el personal que trabaje en el grupo ya sea de manera permanente o temporal, esto incluye a los contratistas.
Como medidas disciplinarias o sanciones aplicables la política nos marca tres niveles de infracción de los cuales se pueden derivar las siguientes:
1. Infracción baja se presenta cuando es la primera vez que se incumple en algún procedimiento lo cual puede ser un llamado de atención verbal o un reporte de incidencia.
2. Infracción media se tiene cuando el incumplimiento ocasione daño a la organización o sea la segunda vez que se realiza, esto tiene como consecuencias actas administrativas o sanciones económicas.
3. Infracción alta se presenta cuando con el incumplimiento se cause un daño severo y se vea manchada la imagen de la empresa o al ser la tercera vez que se realiza y esto tiene como consecuencia la baja de la organización.
Gerardo Enrique Pérez Ramos
Supervisor de Seguridad Industrial
El alcance de la politica del sistema de gestión de seguridad informática establece que la política se aplica a todo el personal de la organización, incluyendo empleados, contratistas y personal temporal, asi como otras partes interesadas relevantes que tengan acceso a los sistemas de información de la organización, como parte de del buen cumplimiento de esta política es el buen uso que le demos a la información que nosotros como generamos en nuestros procesos de trabajos, asi como de la información que manejamos como usuarios esto incluye tanto información como los equipos que utilizamos para la generación de la misma todo lo debemos usar con el cuidado debido para el beneficio de la empresa, algunos ejemplos de cumplimientos podrían ser
1.- Verificar que la información que se genera en el área solo tenga acceso el personal autorizado para evitar que cualquier persona pueda tener acceso a la información
2.- Es responsabilidad de cada uno cuidar los equipos que nos proporciona la empresa para evitar que estos sena manipulados por personas ajenas a la empresa o personal no autorizado, por lo que se deben de tener las medidas de seguridad de la información, como enviar las información por correos institucionales y autorizados
3.- Verificar la seguridad de la información, teniendo contraseñas en los equipos utilizadados, no abrir o entrar en paginas indebidas no usar redes wifi publicas.
Las sanciones son:
Baja, reporte de incidencias, Advertencias verbales
Media, Acta administrativa o suspension parcial, descuento salarial
Grave, Sanciones econômicas, terminacion laboral con proceso legal, Baja automática
Javier Baez Cornelio
Coordinador de Audititoria
El alcance de política del proceso disciplinario de SGSI aplica para todo el personal de la organización, incluyendo empleados, contratistas y personal temporal, así como a otras partes interesadas relevantes que tengan acceso a los sistemas de información de la organización.
3 ejemplos de cumplimiento:
1.- El Proteger, resguardad y no filtrar información privada y confidencial de uso exclusivo de la organización, así como resguardar dicha información a la plataforma oficial y confiable Nextcloud.
2.- Cumplir con las reglas y políticas de uso de campamentos al personal que labora en campo, así como hacer cumplir el código de ética y conducta de la organización.
3.- Reportar cualquier violación sospechosa de la política de seguridad de la información y colaborar en la implementación de acciones disciplinarias.
3 ejemplos de sanciones:
1.- Nivel de infracción baja: Reporte de incidencias.
2.- Nivel de infracción Media: Acta administrativa y descuento salarial.
3.- Nivel de infracción Grave: terminación laboral con proceso legal.
Arnold Hernández Cornelio
Supervisor Ambiental
Dentro del Sistema de Gestión de Seguridad de la Información, se tiene establecido una Política del proceso disciplinario del (SGSI), el cual aplica a todo el personal de la organización, incluyendo empleados, contratistas y personal temporal. La cual tiene como objetivo asegurar que el personal comprenda las consecuencias de violar las políticas de seguridad de la información, disuadir dichas violaciones y tratar adecuadamente con el personal y otras partes interesadas relevantes que hayan cometido una violación.
Dentro de las actividades se pueden dar los siguientes tres ejemplos de cumplimiento:
1. Resguardar toda la información en la nube del nextcloud y verificar que no haya cambios en las carpetas.
2. Verificar que personas tienen acceso a las carpetas y revisar que los enlaces compartidos del SGI (solo sea para visualización).
3. Proporcionar algún documento del sistema con marca de agua (cuando terceros requieran la información como evidencia), no enviando los originales.
Todo colaborador que incumpla en la política puede ser acreedor a sanciones sin importar el nivel de gravedad, las sanciones pueden ser las siguientes:
• Nivel de infracción baja: reporte de incidencia, advertencias verbales al colaborador, notificaciones escritas al colaborador y a su jefe inmediato, capacitación adicional y supervisión incrementada.
• Nivel de infracción media: acta administrativa y/o suspensión parcial de actividades, descuento salarial, suspensión temporal de acceso a sistemas.
• Nivel de infracción grave: sanciones económicas, terminación laboral con proceso legal, baja automática.
Ing. Kleiner Cerino Diaz
Jefe del Sistema de Gestión Integral
Olvidé mencionar las sanciones que se pueden tener por faltas al reglamento:
1.- Advertencias verbales, Reporte de incidencia. Notificaciones escritas.
2.- Acta Administrativa, descuento salarial, suspensión temporal.
3.- Sanciones económicas, terminación laboral con proceso legal y baja automática.
L.CI. Luis A. Montiel
Gerente de Procura.
El alcance del proceso disciplinario del SGSI es completo, es decir, se incluye no solo al personal de confianza y al personal temporal de la empresa sino también a los subcontratistas, proveedores y todo aquel que tenga acceso a la información dentro de la organización.
Dentro de los 3 ejemplos de cumplimiento que puedo mencionar están:
1.- Informar cualquier sospecha de fuga de información al área correspondiente.
2.-Hacer buen uso de la información de la empresa procurando ser cauteloso con lo que se comparte a personal fuera del área de procura o de la empresa.
3.- Mantener a buen resguardo la información y el acceso a la computadora o computadoras que contengan información sensible de uso exclusivo del área de procura así como mantener un seguimiento formal de aquella información solicitada por medios electrónicos por personal de otras áreas.
L.C.I. Luis Alfredo Montiel
Gerente de Procura.
1. Mencionar el alcance y da 3 ejemplos de cumplimiento y de sanciones que se puede tener.
La política del proceso disciplinario del SGSI aplica a todo el personal de la organización, incluyendo empleados, contratistas y personal temporal.
El objetivo de ésta es que todo el personal comprenda las consecuencias de violar las políticas de seguridad de la información, disuadir dichas violaciones y tratar adecuadamente con el personal y otras partes interesadas relevantes que hayan cometido una violación.
Tres ejemplos de cumplimiento sería:
1.- Asegurarme que la información se encuentre resguardada o respaldad en Next Cloud.
2.- Que el acceso sea restringido en base al perfil de puesto y la autoridad de éstos.
3.- Verificar cuando es necesario la entrega de información al cliente por medio de otros dispositivos.
Sanciones pueden ser:
Baja: incumplimiento a la política o procedimientos ejecutados por primera vez (reporte de incidencia, advertencias verbales al colaborador, notificaciones escritas al colaborador y a su jefe inmediato, capacitación adicional, supervisión incrementada).
Media: Incumplimiento a la política o procedimiento omitido que ocasione impacto de daño parcial, donde el colaborador reincida en una segunda ocasión y con una previa notificación).
Grave: Robo de información, incumplimiento de política que cause daño total o severo de la información o reputación de grupo LAMAT, reincidencia acumulada por tercera vez. (sanciones económicas, terminación la laboral con proceso legal y baja automática).
En mi puesto de trabajo como responsable de seguridad es muy importante cuidar y proteger la informacion de personas que puedan hacer mal uso de la informacion por lo cual yo implemento las siguientes practicas:
1. Colocar contraseñas acorde a las recomendaciones del departamento de TI.
2.-Utilizar solo equipos de computo y móviles que la empresa me proporcione para evitar una filtración de la información.
3.- No compartir documento,fotos etc, sin autorización de mi jefatura.
4.-Utilizar redes de wifi confiables para evitar el robo de la información.
5.-No contesto llamadas de números desconocidos.
6.-No abro correos sospechosos dado a que me pueden robar la información.
7.-Almaceno la información en la nube del nexcloud que me proporciono la empresa.
Tengo en cuenta que la política busca asegurar que el personal y otras partes interesada relevantes comprendamos las consecuencias de violar y tratar adecuadamente con el personal y otras partes interesadas relevantes que hayan cometido una violación.
Del no cumplir con lo que marca la política puedo ser acreedor a acta administrativas o baja laboral dado a que ya se me dio a conocer las reglas de la empresa.
Responsable de seguridad/Ricardo Arturo Calacuayo David.
El alcance de Política del proceso disciplinario se aplica a todo el personal de la organización incluyendo empleados, contratistas y personal temporal, así como otras partes interesadas relevantes que tengan acceso a los sistemas de información de la organización. El proceso disciplinario es una serie de acciones formales tomadas en respuesta a una violación de la política de seguridad de la información.
3 cumplimientos:
4. Respetar las políticas de la empresa, cumplir con la política de cero tolerancias al consumo de alcohol y drogas en llegar así a las instalaciones de la empresa o dentro de estas.
5. Usar los equipos de la empresa laptop, celulares para realizar las actividades de acuerdo a mi puesto y área de trabajo y No usar los equipos que proporciona la empresa para abrir páginas y correos inseguros que puedan causar daños de estos
6. Cargar la evidencia en el nextcloud y evitar compartir información con personas ajenas a empresa
3 sanciones
4. Ser acreedores a amonestaciones verbales
5. Ser acreedores a Actas administrativas, incidencias por actos que no son correctos o están en contra de las políticas de la empresa
6. Suspensión del empleo por un tiempo determinado o del sueldo
Cristell Miguelina Hernández Ramos// Responsable de Salud
Mencionar el alcance y da 3 ejemplos de cumplimiento y de sanciones que se puede tener:
El alcance de esta politica es aplicable para todo el personal de Grupo Lamat partiendo desde empleados, personal temporal, contratistas hasta otras partes interesadas relevantes que puedan tener acceso a la información de la organización.
Ejemplos de incumplimiento
1.Incumplimiento de politica o procedimientos mal ejecutados.
2.Incumplimiento de politica o procedimiento que impacte a la empresa en daño parcial y se reinicide por 2da vez.
3.Robo de información, donde se cause daño total o severo de la información o reputación a Grupo Lamat y se reincide por 3ra vez.
Ejemplo de sanciones que se puede tener:
1.Incidencias,advertencias verbales,notificaciones escritas,capacitacion adicional y supervisión incrementada.
2.Acta administrativa,suspensión parcial,descuento salarial,suspension temporal de actividades.
3.Sanciones económicas,terminación laboral con proceso legal y baja automática.
lLic. Francisco Antonio de la Cruz Nieto
Responsable de Salud en el Trabajo
El proceso disciplinario en una política vigente en el SGSI de acuerdo a la norma ISO 270001:2022 donde nos da los parámetro de sanciones administrativas por no cumplir con algún procedimiento o política vigente que la organización tenga declarado en el SGSI.
En mi función como CISO es dar seguimiento a las políticas, reglamentos y procedimiento vigentes que tenga la organización, realizar auditoria periódicas a los colaboradores done se revisar el complimeinto de un buen uso de lso equipos asigunados como el tratamiento que realice a las información que tenga a su cargo.
Los ejemplos de alcances, cumplimiento y sanciones que se pueden tener son:
El alcances es realizar auditorias, revisiones de políticas, procedimiento de las áreas involucradas,.
los ejemplos de cumplimiento son:
1.- respetar todas las políticas, reglamentos y procedimientos vigentes de la empresa.
2.- solo navegar paginas seguras para evitar el robo de información
3.- no compartir información a personas no autorizadas.
los ejemplos de sanciones son:
1.- llamado de atención verbal o escrito como es una incidencia.
2.- acta administrativa
3.- desvinculación de colaborador.
Ing. Omar Alcudia
CISO
esta política se aplica a todo el personal de la organización, incluyendo empleados, contratistas empleados, contratistas y personal temporal, asi como otras partes interesadas relevantes que hayan cometido una violación
la acción disciplinaria se debe de aplicar de manera justa y cociente
el tabulador de sanciones describe 3 tipos de infracciones: baja, media y alta
¿Qué es el proceso Disciplinario? Se puede definir como un conjunto de acciones orientadas a investigar y en algunos casos a sancionar a determinados comportamientos o conductas del trabajador, que conlleven incumplimiento de deberes, violación de prohibiciones y abuso en el ejercicio de derechos y funciones. Este se aplicará al trabajador cuando se este en presencia de una presunta falta disciplinaria, estipulada en el Reglamento Interno de Trabajo, y que de encontrarse probada deba ser sancionada ya sea mediante un llamado de atención verbal o escrito, una suspensión del contrato o incluso una multa.
El Alcance de la Política del Proceso Disciplinario del SGSI “Esta política se aplica a todo el personal de la organización, incluyendo empleados, contratistas y personal temporal, asi como a otras partes interesadas relevantes que tengan acceso a los sistemas de información de la organización”.
Como PMP ¿Como puedo aplicar la Política del Proceso Disciplinario del SGI?
• Reportar de manera inmediata cualquier sospecha de violación a la seguridad o los procesos internos establecidos.
• Respetar el reglamento interno de trabajo
• Ejercer mis obligaciones escritas en mi contrato laboral
• Tener sigilo profesional
Manuel de Jesus Bermudez Diaz
Coordinador PMP
El Proceso Disciplinario del Sistema de Gestión de Seguridad de la Información (SGSI) de Grupo LAMAT constituye un componente normativo esencial para asegurar la adopción, cumplimiento y vigilancia de los lineamientos definidos por la organización en materia de protección de la información, en alineación con los requisitos de la norma ISO 27001:2022. Esta política establece un marco metodológico que regula la actuación institucional ante cualquier presunta violación a la seguridad de la información, garantizando investigaciones imparciales, procedimientos transparentes y sanciones proporcionales a la gravedad de la infracción. Su correcta implementación resulta determinante para preservar la confidencialidad, integridad y disponibilidad de los activos informacionales, pilares que sustentan la operatividad estratégica de la empresa.
Su objetivo principal es garantizar que todo el personal y las partes interesadas comprendan la importancia de cumplir con las políticas de seguridad, así como las consecuencias derivadas de cualquier incumplimiento. El alcance de esta política es integral, ya que incluye a empleados, contratistas, personal temporal y a todos aquellos que tengan acceso a los sistemas o activos de información de la empresa. Esto contribuye a mantener un ambiente de control uniforme y una cultura organizacional alineada con la protección de la información.
En mi función de Auditor Interno, esta política representa una herramienta estratégica. Permite respaldar las investigaciones con evidencia clara, asegurar la correcta aplicación del SGSI y garantizar que cada caso sea atendido conforme a los principios corporativos de justicia, transparencia y mejora continua. La ISO 27001:2022 exige procesos definidos y documentados; por ello, el proceso disciplinario contribuye directamente a la trazabilidad, la confiabilidad operativa y el fortalecimiento del modelo de gestión de riesgos de la empresa.
Entre los elementos más relevantes del proceso se encuentran la verificación previa —que asegura que ninguna acción disciplinaria se aplique sin fundamentos claros—, la respuesta graduada basada en la gravedad del incidente y la protección de la identidad de quienes reportan violaciones. Estos factores fortalecen la integridad institucional y reducen los riesgos asociados al manejo inadecuado de la información.
Con relación a las acciones de cumplimiento:
1. Reportar oportunamente cualquier sospecha de violación a la seguridad mediante los canales establecidos.
2. Respetar estrictamente los controles de acceso, procedimientos técnicos y lineamientos operativos del SGSI.
3. Participar activamente en las capacitaciones institucionales y aplicar de forma correcta los conocimientos adquiridos sobre seguridad de la información.
Por otra parte, la política contempla un tabulador de sanciones que permite actuar de manera clara y proporcional. Ejemplos de sanciones incluyen:
1. Nivel bajo: advertencia verbal, reporte de incidencia, capacitación adicional o incremento de supervisión.
2. Nivel medio: acta administrativa, suspensión parcial de actividades o descuento salarial.
3. Nivel grave: sanciones económicas, suspensión definitiva de accesos, terminación laboral o, en casos severos, la ejecución de procesos legales correspondientes.
Por tanto, el Proceso Disciplinario del SGSI es una herramienta corporativa de alto impacto que fortalece la cultura de seguridad, refuerza el cumplimiento normativo y contribuye directamente a la estabilidad operativa de Grupo LAMAT. Su correcta aplicación permite proteger los activos de información y asegura que la organización mantenga un desempeño sólido, confiable y alineado con las mejores prácticas internacionales.
Jorge Alberto Díaz Lara
Auditor