MANUAL PRACTICO PARA EL TRABAJO REMOTO PNP

SAVE OFFLINE

MANUAL PRACTICO PARA EL TRABAJO REMOTO V.5

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

1

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

2

DIVISIÓN DE SISTEMATIZACIÓN DE LA INFORMACIÓN DE LA CARRERA POLICIAL Y LEGAJOS DE LA DIRREHUM PNP

Debido al incremento de casos por coronavirus (COVID-19) que ha ocasionado una pandemia mundial, en el Perú, se ha reportado igualmente el incremento exponencial de infectados por dicho virus; por ello, el presidente de la República, declaró Estado de Emergencia Nacional, que contempla el aislamiento social obligatorio de la ciudadanía, con el fin de evitar más contagios por el COVID-19. En la Policía Nacional del Perú, existe un gran número de efectivos policiales que se encuentran con factor de riesgo laboral, al encontrarse inmersos en las causales que contempla la Resolución N° 084-2020-MINSA y normas concordantes, actos administrativos que disponen el aislamiento social obligatorio y en la medida de lo posible efectuar la modalidad de trabajo remoto, del personal Policial, personal CAS, Terceros y EE.CC, Por ello se deberá identificar al personal policial con factores de riesgo y vulnerabilidad para infección por COVID - 19, considerando como factores de riesgo entre otros la Hipertensión arterial, Enfermedades cardiovasculares, Diabetes, Obesidad (conforme documento técnico emitido por el MINSA), Asma Enfermedad pulmonar crónica, Insuficiencia renal crónica, Enfermedad o tratamiento inmunosupresor, Oncológicos, personal que tenga la condición de persona vulnerable, tales como, mayores de 60 años (al 31 de diciembre del presente año), mujeres gestantes o en periodo de lactancia y personas con alguna discapacidad, en relación con el COVID-19. Por tal motivo, resulta necesario formular el Manual Práctico para el Trabajo Remoto con la finalidad que el personal policial con o sin factor de riesgo laboral, pueda iniciar trabajos administrativos virtuales en la Policía Nacional del Perú, para coadyuvar a cumplir con la función policial, identificando al personal policial a nivel nacional, que pueda desarrollar el trabajo remoto y se encuentren:  Con aislamiento obligatorio, apto para efectuar Trabajo Remoto.  Sin aislamiento obligatorio, apto para efectuar Trabajo Remoto.  Con aislamiento obligatorio, imposibilitado de efectuar Trabajo Remoto.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

3

INTRODUCCIÓN

La Dirección de Recursos Humanos dentro de su organización cuenta con la División de Sistematización de la Información de la Carrera Policial y Administración de Legajos – DIRREHUM-PNP - DIVSICPAL; unidad orgánica responsable de administrar el Sistema Integrado de Gestión de la carrera del Personal Policial y Civil de la Policía Nacional del Perú, sistematizando y digitalizando la información contenida en sus legajos y otros documentos de interés para la institución. Que mediante Decreto Supremo N° 008-2020-SA, que declara en Emergencia Sanitaria a nivel nacional por el plazo de noventa (90) días calendario y dicta medidas de prevención y control del COVID-19, ampliada por el Decreto Supremo N° 020-2020-SA que prorroga la Emergencia Sanitaria al 07SET2020, se implementa el Manual Práctico para el Trabajo Remoto en la Policia Nacional del Perú, conforme al Decreto de Urgencia N.º 026-2020, que señala que las entidades públicas no necesitan emitir ninguna regulación adicional, al existir un marco específico que prevé reglas especiales en materia de TRABAJO REMOTO frente al coronavirus (COVID-19), que incluye al régimen laboral de la actividad pública. Encontrándonos en estado de emergencia sanitaria según lo establece el Decreto Supremo N° 020-2020-SA, y al amparo del Decreto Supremo N° 0262017-IN articulo 71 numeral 9° y en cumplimento a la Disposición de Comando N° 0444-2020-SCG-PNP/SEC, que establece que, de acuerdo a lo dispuesto por el supremo gobierno se debe cumplir las normas vigentes que establece medidas temporales excepcionales aplicables a las entidades públicas de manera excepcional y hasta el 31 de diciembre del 2020 que resulten pertinentes para evitar el riesgo de contagio de COVID 19, A mayor abundamiento, mediante el Decreto Legislativo N° 1505, se establece medidas temporales excepcionales en materia de gestión de recursos humanos en el sector público ante la emergencia sanitaria ocasionada por el COVID-19, autorizando a las entidades públicas de manera excepcional y hasta el 31 de diciembre de 2020, a implementar el trabajo remoto, en los casos que fuera posible. Asimismo, se autorizó establecer modalidades mixtas de prestación de servicios, alternando días de prestación de servicios presenciales con días de trabajo remoto, autorizando además a que las entidades, hasta el 31 de diciembre de 2020, puedan asignar nuevas funciones o variar las funciones ya asignadas a sus servidores; A partir del 16 de marzo del 2020, se encuentra inserto en el Sistema de Gestión de la Carrea Policia DIRREHUM PNP, el Manual Práctico del Trabajo Remoto actualizado a la fecha en V5, manual que constituye una guía vinculante para la correcta aplicación de las normas y procedimientos establecidos por la PNP, en ese sentido y con la finalidad de regularizar las acciones laborales de todos los actores de la PNP e integrar con rapidez y precisión al personal que se Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

4

incorporará al trabajo remoto se dispuso mediante Disposición de Comando N° 0444-2020-SCG-PNP/SEC del 04JUN2020 MUY URGENTE – ACCION INMEDIATA, la conformación de la comisión responsable presidida y bajo responsabilidad del infrascrito, formular, aprobar, desarrollar y actualizar el Manual Práctico del Trabajo Remoto. Este Manual para el trabajo remoto incluye también las medidas de seguridad y salud que deben informarse al trabajador/a, a fin que las observe durante el desarrollo del trabajo remoto, conforme a lo establecido por el Decreto de Urgencia N.º 026-2020, que establece diversas medidas excepcionales y temporales para prevenir la propagación del coronavirus (COVID-19) en el territorio nacional.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

5

MANUAL PRACTICO PARA EL TRABAJO REMOTO I. OBJETIVOS En cumplimiento a lo dispuesto por el supremo gobierno se deberá cumplir las normas vigentes que establecen las medidas temporales excepcionales aplicables a las entidades públicas de manera excepcional y hasta el 31 de diciembre de 2020, que resulten pertinentes para evitar el riesgo de contagio de COVID-19 e implementar el Trabajo Remoto. Establecer lineamientos que permitan fortalecer la seguridad, así como evitar la vulnerabilidad digital del Trabajo Remoto en la PNP conforme la regulación vigente para el Trabajo Remoto y Gobierno Digital. Unificar las acciones laborales de todos los actores de la PNP, que intervienen en el Trabajo Remoto. Integrar con rapidez y precisión, al personal que se incorporará al trabajo remoto. II. BASE LEGAL 1. 2. 3. 4.

5. 6. 7. 8.

9. 10.

11.

Constitución Política del Perú. Ley Nº 1267, Ley de la Policía Nacional del Perú. Ley Nº 30714, Ley de Régimen Disciplinario. Decreto Legislativo N.º 1156. Dictan medidas destinadas a garantizar el servicio público de salud en los casos que exista un riesgo elevado o daño a la salud y la vida de las poblaciones. Decreto Legislativo N.º 1412, Aprueba la Ley de Gobierno Digital Ley Nº 27269, de Firmas y Certificados Digitales. Ley Nº 29783, Ley de Seguridad y Salud en el Trabajo. Decreto Legislativo N° 1505 que establece medidas temporales excepcionales en materia de gestión de recursos humanos y en el sector público ante la emergencia sanitaria ocasionada por el COVID-19. Decreto Legislativo N° 1175, Ley de Régimen de Salud de Ia Policía Nacional del Perú. Decreto Legislativo N° 1458, para sancionar el incumplimiento de las disposiciones emitidas durante la emergencia sanitaria a nivel nacional y demás normas emitidas para proteger Ia vida y la salud de Ia población por el contagio del COVID-19. D.S. N.º 026-2017-IN, Reglamento de la Ley de la Policía Nacional del Perú Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

6

12. D.S. N.º 16-2017-IN, Reglamento de la Ley de la Carrera de la PNP 13. D.S. N.º 003-2020-IN, Reglamento de la Ley de Régimen Disciplinario de la Policía Nacional del Perú. 14. D.S. N.º 010-2020-TR, Que desarrolla disposiciones para el sector privado sobre el Trabajo Remoto. 15. D.S. N.º 008-2020-SA, Que declara en Emergencia Sanitaria a nivel nacional por el plazo de noventa (90) días calendario y dicta medidas de prevención y control del COVID-19. 16. Decreto Supremo N° 020-2020-SA que prorroga la Emergencia Sanitaria declarada por Decreto Supremo N° 008-2020-SA 17. D.S. N.º 044-2020-PCM, Que declara Estado de Emergencia Nacional por las graves circunstancias que afectan la vida de la nación a consecuencia del brote del COVID-19. 18. D.S. N.º 051-2020-PCM, Prórroga del Estado de Emergencia Nacional. 19. Decreto Supremo N° 061-2020-PCM, que modifica el artículo 3 del Decreto Supremo N° 051-2020-PCM, que prorroga el Estado de Emergencia Nacional declarado mediante Decreto Supremo N° 0442020-PCM, por las graves circunstancias que afectan Ia vida de Ia nación a consecuencia del COVID-19. 20. Decreto Supremo N° 064-2020-PCM, que prorroga el Estado de Emergencia Nacional por las graves circunstancias que afectan Ia vida de Ia nación a consecuencia del COVID-19 y dicta otras medidas. 21. Decreto Supremo N° 075-2020-PCM, Decreto Supremo que prorroga el Estado de Emergencia Nacional por las graves circunstancias que afectan Ia vida de la Nación a consecuencia del COVID-19. 22. Decreto Supremo N° 083-2020-PCM, Decreto Supremo que prorroga el Estado de Emergencia Nacional por las graves circunstancias que afectan la vida de Ia Nación a consecuencia del COVID-19 y establece otras disposiciones. 23. Fe de Erratas DS N° 083-2020-PCM 24. Decreto Supremo N° 003-2015-IN, que aprueba el Reglamento del Decreto Legislativo N° 1175 Ley del Régimen de Salud de Ia Policía Nacional del Perú. 25. Decreto Supremo N° 094-2020-PCM, Decreto Supremo que establece las medidas que debe observar Ia ciudadanía hacia una nueva convivencia social y prorroga el Estado de Emergencia Nacional por las graves circunstancias que afectan la vida de Ia Nación a consecuencia del COVID-19. 26. Decreto Supremo N° 006-2020-IN que aprueba el Reglamento del Decreto Legislativo N° 1458, para sancionar el incumplimiento de las disposiciones emitidas durante Ia emergencia sanitaria a nivel nacional y demás normas emitidas para proteger la vida y Ia salud de la población por el contagio del COVID-19. 27. D.S. N.º 050-2018-PCM Aprueban la definición de Seguridad. 28. D.U. N.º 007-2020, Aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento. 29. D.U. N.º 025-2020, Que dicta medidas urgentes y excepcionales destinadas a reforzar el sistema de vigilancia, respuesta sanitaria frente al COVID-19 en el territorio nacional. Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

7

30. D.U. N.º 026-2020, Que establece diversas medidas excepcionales y temporales para prevenir la propagación del coronavirus (covid-19) en el territorio nacional. 31. D.U. N.º 029-2020, Dictan medidas complementarias destinadas al financiamiento de la micro y pequeña empresa y otras medidas para la reducción del impacto del covid-19 en la economía peruana. 32. Resolución Ministerial N° 193-2020/MINSA, Aprueban el Documento Técnico: Prevención, Diagnóstico y Tratamiento de personas afectadas por COVID-19 en el Perú. 33. Resolución Ministerial N° 239-2020-MINSA, aprueban el Documento Técnico denominado "Lineamientos para Ia vigilancia, prevención y control de Ia salud de los trabajadores con riesgo a exposición del COVID-19". 34. Resolución Ministerial N° 265-2020-MINSA, que modifica el Documento Técnico" Lineamientos para la vigilancia, prevención y control de Ia salud de los trabajadores con riesgo a exposición del COVID-19", aprobado por Resolución Ministerial N ° 239-2020-MINSA. 35. Resolución Ministerial N° 270-2020/MINSA que Modifica el Documento Técnico: Prevención, Diagnóstico y Tratamiento de personas afectadas par COVID-19 en el Perú. 36. Resolución Ministerial N° 283-2020-MINSA, que modifica el Documento Técnico: "Lineamientos para la Vigilancia, Prevención y Control de la Salud de los Trabajadores con Riesgo de Exposición a COVID-19". 37. R.M. N.º 055-2020-TR Guía para la prevención del Coronavirus en el ámbito Nacional. 38. R.M. N.º 039-2020/MINSA, Documento Técnico “Plan Nacional de preparación y respuesta frente al riesgo de introducción del COVID-19”. 39. R.M. N.º 084-2020-MINSA, Que aprueba el Documento Técnico de atención y manejo clínico de casos de COVID-19 (coronavirus), Escenario de Transmisión Focalizada, que forma parte integrante de la Resolución Ministerial. 40. R.M. N.º 042-2018-IN. Política General de Seguridad de la información del Ministerio del Interior. 41. R.M. Nº 276-2019-IN. Sistema de Gestión de Seguridad de la Información en el MININTER. 42. Política de seguridad de la información DIRTIC-PNP. 43. Resolución de Presidencia Ejecutiva 39-2020-Servir-Pe 44. Memorándum Múltiple N° 60-2020-C0MGEN-PNP/SEC-EQUASINM del 05JUN2020 45. Memorándum Múltiple N° 60-A-2020-C0MGEN-PNP/SEC-EQUASINM del 05JUN2020 46. Disposición de Comando N° 0444-2020-SCG-PNP/SEC del 04JUN2020 MUY URGENTE – ACCION INMEDIATA III. ALCANCE Es de ejecución y aplicación para el personal que labora en la PNP, sujeto a la modalidad del Trabajo Remoto. Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

8

IV. COOPERACION LABORAL El Decreto Legislativo N° 1456, establece la medida excepcional de cooperación laboral entre entidades públicas mientras se encuentre vigente la Emergencia Sanitaria a nivel nacional declarada por el Decreto Supremo N° 008-2020-SA, que declara en Emergencia Sanitaria a nivel nacional por el plazo de noventa (90) días calendario y dicta medidas de prevención y control del COVID-19. Para la elaboración del Manual Práctico para el Trabajo Remoto, se contó con el apoyo de la Policia Nacional de Colombia, Ameripol, Unidad de Investigación y Defensa de Bogotá Colombia - UID, Estudio Jurídico Kresalja IP, Comisión de Justicia de Género del Poder Judicial, de la OGTIC MININTER y presidida por la Comision responsable de formular, aprobar desarrollar y actualizar, el Manual Práctico del Trabajo Remoto, compuesto por un Oficial Abogado especialista en derecho informático y técnico en ciberseguridad, Sub Oficiales técnicos en ciberseguridad capacitados en la PNP, PCM y FBI y de Ingeniero informático en ética hacking de la DIRREHUM DIVSIGCPAL personal CAS. V. DEL TRABAJO REMOTO Resulta de aplicación la definición de trabajo remoto contenida en el artículo 16 del Decreto de Urgencia N° 026-2020, que establece diversas medidas excepcionales y temporales para prevenir la propagation del coronavirus (COVID-19) en el territorio nacional. El Trabajo Remoto se conceptúa como la prestación de servicios subordinados, desde el domicilio o lugar de aislamiento domiciliario, del personal policial o servidor/a civil, utilizando cualquier medio o mecanismo que posibilite realizar las labores fuera del lugar habitual de la prestación laboral, siempre que la naturaleza de las labores lo permita. El Trabajo Remoto no se limita a los servicios que puedan ser prestados mediante medios informáticos, de telecomunicaciones o análogos, sino que se extiende a cualquier tipo de servicio que no requiera la presencia física del/de la servidor/a en la entidad pública. El Trabajo Remoto es compatible con el trabajo presencial. La Policia Nacional del Peru, determina el grupo de servidores/as que realizan trabajo remoto de manera integral o bajo modalidades mixtas de prestación del servicio. Para efectuar dicha identificación, se toma en cuenta la pertenencia del/de la servidor/a al grupo de riesgo, o quienes no pertenecen al grupo de riesgo, las funciones o naturaleza de su puesto y las disposiciones que emita la autoridad sanitaria nacional.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

9

Dando cumplimiento a las normas vinculantes y priorizando el Trabajo Remoto, como una modalidad laboral extraordinaria y temporal, está, es aplicable a todo el personal que labora en la Policía Nacional del Perú, personal policial, servidores civiles comprendidos en el D. Leg. N.º 276, D. Leg. N.º 728 y CAS, sin factor de riesgo laboral, con factor de riesgo laboral y con aislamiento obligatorio, exceptuándose a personal que fuera aislado por diagnostico o sospecha del COVID-19. Para ello se debe identificar a los/las servidores/as, del grupo de riesgo en razón a la edad, así como a los factores clínicos a que se contrae el documento técnico denominado “Atención y Manejo Clínico de casos de COVID-19 - Escenario de Transmisión Focalizada”, aprobado por Resolución Ministerial N° 084-2020-MINSA y sus modificatorias., los que son: a. Sin aislamiento obligatorio apto para efectuar Trabajo Remoto 1. Personal Policial. 2. Servidores Civiles (D. Leg. N.º 276, D. Leg. N.º 728, CAS). b. Con aislamiento obligatorio apto para efectuar Trabajo Remoto 1. Personal Policial. 2. Servidores Civiles (D. Leg. N.º 276, D. Leg. N.º 728, CAS). c. Con aislamiento obligatorio, imposibilitado de efectuar Trabajo Remoto. Se debe identificar al personal que estando dentro del grupo de riesgo indicados en el precedente, no es posible por razón de su labor, que realicen el trabajo de manera remota, a quienes se les otorgará licencia con goce de haber, sujeta a posterior compensación, quienes son: 1. Personal Policial. 2. Servidores Civiles (D. Leg. N.º 276, D. Leg. N.º 728, CAS). La Policia Nacional del Peru, en su condición de empleador, podrá optar por la variación excepcional de funciones del/de la servidor/a regulada por la Cuarta Disposición Complementaria Final del Decreto Legislativo N° 1505, que establece medidas temporales excepcionales en materia de gestión de recursos humanos en el sector público ante la emergencia sanitaria ocasionada por el COVID-19, con el fin de posibilitar que el/la servidor/a realice trabajo remoto. Esta situación sera comunicada al/a la servidor/a por la Oficina de Recursos Humanos, o la que haga sus veces. El Trabajo Remoto es homologable al servicio policial que realiza el personal policial. No constituye limitante para participar en los procesos y procedimientos de ascensos o concursos en la Policía Nacional del Perú.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

10

Los factores de riesgo laboral, calificados así por emergencia sanitaria, que tienen características de temporales y excepcionales no pueden ser limitantes para quienes la poseen en el ejercicio de sus derechos. VI. DE LA JORNADA LABORAL Y LA UNIDAD POLICIAL La jornada laboral remota, importa el cumplimiento del horario, durante el cual, el servidor/a realiza las labores encomendadas, contando con su disponibilidad para las coordinaciones a que hubiere lugar. Durante la jornada laboral se podrá hacer uso de pausas activas que son breves descansos durante la jornada laboral del Trabajo Remoto, que sirven para recuperar energía, mejorar el desempeño y eficiencia en el trabajo, a través de diferentes técnicas y ejercicios que ayudan a reducir la fatiga laboral, trastornos osteomusculares y prevenir el estrés. Para el Trabajo Remoto en la PNP se efectuarán dos (02) pausas, la primera en la mañana y la segunda en la tarde, la misma que será en las horas que decida el trabajador.

Dentro de este contexto, la unidad policial, a fin de viabilizar la implementación del trabajo remoto, desarrolla las acciones siguientes: 1. Define las actividades que serán desarrolladas mediante el Trabajo Remoto. Cada una de las unidades policiales, asigna al personal sujeto Jr. Los Cibeles 191 – Distrito del Rímac 11 EMAIL. [email protected]

desempeño del Trabajo Remoto y establece las labores a realizar durante la vigencia del mismo. 2. Determina la actividad que puede ser desarrollada fuera del centro de labores. 3. Valora si la actividad no requiere contacto presencial con los/as demás servidores/as del Departamento, ni de los usuarios externos. 4. Prevé que la ejecución de la actividad fuera de la oficina no ponga en riesgo la seguridad de la información que se maneja en base a las políticas de seguridad de la información. Efectúa el seguimiento o el cumplimiento de la actividad por medios electrónicos. Determinados los servidores/as, que estarán sujetos a esta modalidad laboral, se les comunicará vía correo electrónico oficial, o particular, indicándole además sus obligaciones, así como las de la unidad policial, que son las contenidas en el presente documento, que le será remitido como anexo acompañando la comunicación antes indicada, cuyo acuse de recepción se realizará con la verificación de la remisión a los medios antes indicados. VII. DE LAS OBLIGACIONES DE LA PNP 1. Respeta la naturaleza del vínculo laboral, la remuneración, y demás condiciones económicas salvo aquellas que por su naturaleza se encuentren necesariamente vinculadas a la asistencia al centro de trabajo. 2. El horario regular de Trabajo Remoto, para efecto de realizar las labores asignadas a los/as servidores/as, la misma corresponde de 08.00 a 17.00 horas de lunes a viernes y sábados de 08.00 a 13.00 horas. 3. De manera excepcional y hasta el 31 de diciembre de 2020, se autoriza a las unidades policiales implementar las medidas temporales excepcionales que resulten pertinentes para evitar el riesgo de contagio de COVID-19 y la protección del personal a su cargo, dichas medidas pueden consistir, sin limitarse a estas y sin trasgredir la finalidad del DL.1505 en realizar Trabajo Remoto en los casos que fuera posible; establecer modalidades mixtas de prestación del servicio, alternando días de prestación de servicios presenciales con días de trabajo remoto; reducir la jornada laboral; modificar el horario de trabajo; establecer turnos de asistencia al centro laboral, en combinación con el trabajo remoto, en los casos que fuera posible. Sin perjuicio de lo anterior, las entidades públicas deben prever que las medidas temporales excepcionales no colisionen con aquellas que se encuentran vigentes en la entidad y que, por su naturaleza, tengan la misma finalidad, de modo tal que no supongan una desnaturalización de estas últimas o las conviertan en incrementos remunerativos. Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

12

4. Modifica de manera extraordinaria la jornada laboral, en atención a las necesidades que de la cuarentena se pueden presentar. 5. Verifica a través del oficial de la Seguridad de la Información de la PNP que las unidades policiales pongan en práctica la confidencialidad disponibilidad e integridad en las comunicaciones. 6. Verifica a través del Oficial de la Seguridad de la Información de la PNP que las unidades policiales difundan a los/las trabajadores/as remotos/as la RM N° 042-2018-IN Política General de Seguridad de la información del Ministerio del Interior, la RM N° 276-2019-IN Sistema de Gestión de Seguridad de la Información y las Políticas de Seguridad de la Información de la PNP. 7. Recomienda de ser el caso, a través del Oficial de la Seguridad de la Información de la DIRREHUM PNP - DIVSICPAL que las unidades policiales suscriban acuerdos de confidencialidad con los remotos/as. 8. Brinda Ciberseguridad suficiente y necesaria a todo Trabajo Remoto que se efectué. VIII. DE LAS OBLIGACIONES DEL SERVIDOR/RA. 1. Cumplir con la normatividad sobre seguridad de la información, protección y confidencialidad, desde su calidad de servidor y ciudadano digital. 2. Guardar confidencialidad de la información proporcionada por el departamento, para el desempeño de la labor. 3. Entregar el trabajo encargado en los plazos establecidos por el superior, bajo responsabilidad en caso de incumplimiento. 4. Informar de manera inmediata cualquier desperfecto en los medios y mecanismos para el desarrollo del trabajo remoto. 5. Estar disponible durante toda la jornada laboral, es decir, estar en contacto con el superior cuando este lo requiera, dicho incumplimiento será considerado como inasistencia, sujeto al descuento correspondiente; para ello, el superior dejará constancia bajo correo electrónico institucional remitido al trabajador remoto con copia a la oficina general de recursos humanos, del hecho sucedido. 6. Las inasistencias, serán computadas de acuerdo a las normas de cada régimen laboral, a fin de impartir las sanciones correspondientes. 7. Al momento de tomar el refrigerio, deberá hacer de conocimiento de su jefe, a través de un correo electrónico. 8. Cumplir las medidas y condiciones de seguridad y salud informadas por las DIRREHUM PNP - DIVSICPAL en el trabajo. IX. DE LOS REQUISITOS TECNOLOGICOS Para que una persona pueda hacer trabajo remoto, requiere de ciertos elementos tecnológicos, considerando al menos: 1. Conectividad: Servicio de internet, telefonía fija / móvil, según corresponda. Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

13

2. Equipos: Computadora de escritorio o portátil. que deben contar con antivirus, VPN. 3. Correo electrónico institucional. 4. Aplicaciones: Herramientas de ofimática e informática y otras aplicaciones de acuerdo con las actividades. 5. Soporte remoto: Brindado por la Oficina de Tecnologías de la Información. Los equipos y medios informáticos, de telecomunicaciones y análogos (internet, telefonía u otros), pueden ser proporcionados por la entidad o el/la servidor/a según sea el caso. Asimismo, la entidad debe brindar todas las facilidades necesarias para el acceso del servidor a sistemas, plataformas, o aplicativos informáticos necesarios para el desarrollo de sus funciones cuando corresponda, otorgando las instrucciones necesarias para su adecuada utilización, así́ como las reglas de confidencialidad y protección de datos que resulten aplicables. En la PNP, se ha determinado que las tareas de Desarrollo y Gestión de Proyectos, serán desarrolladas bajo la modalidad excepcional de trabajo remoto, que comprende 4 actividades: 5.1. Soporte Técnico – Funcional de Software. Los requerimientos son recibidos sin mediar necesariamente alguna programación, siendo atendidos inmediatamente. La medición de esta tarea se realiza en función al número de atenciones, que se clasifican de la manera siguiente: a. Cantidad de Mantenimientos realizados a los sitios web de la DIRREHUM PNP - DIVSICPAL. b. Cantidad de Mantenimientos solicitados a los sistemas de información administrativos. c. Cantidad de Certificados Digitales La medición de esta tarea es mediante nuestra herramienta de soporte GLPI, la cual, registra los requerimientos del Usuario y señala a quien se le deriva el requerimiento para su atención, en la actualidad se viene midiendo mensualmente en base a los 3 criterios señalados. Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

14

5.2. Mantenimiento de Software Desarrollado (Por Proyectos /Por Actividades). En base a las necesidades y requerimientos del área usuaria, el personal técnico especializado realizará los mantenimientos de los aplicativos informáticos desarrollados. El mismo que será realizado conectándose vía VPN, generando un túnel de seguridad informática, en coordinación con el administrador de base de datos del centro de datos de la DIRREHUM - PNP. 5.3. Desarrollo de nuevas herramientas de software (por proyectos) Las necesidades de las áreas usuarias, se convierten en requerimientos de Desarrollo de Software los cuales, son documentos virtuales, según el alcance son dimensionados en el tiempo en función de lo cual se le asignan recursos (personas), lo que le es informada al área usuaria, quedando registrado los participantes en el proyecto y cuanto demorará en su desarrollo (por tarea inclusive). Con esta información, se puede determinar en una ventana de tiempo específica, las tareas realizadas por cada persona del área, según las tareas realizadas en los diferentes proyectos donde participó. En todos los casos se establecen los requisitos tecnológicos y los canales de comunicación: Para desarrollar nuestras actividades se deberá contar con los siguientes requisitos tecnológicos mínimos y los siguientes canales de comunicación: i. Acceso al servicio de VPN de la DIRREHUM PNP - DIVSICPAL de ser el caso. ii. Acceso al correo electrónico Institucional de la DIRREHUM PNP DIVSICPAL PNP para interactuar con los usuarios. iii. Acceso a mecanismos de coordinación y colaboración para la comunicación (Software libre: WhatsApp, Hangouts, Zoom, etc.). iv. Los documentos entre la secretaria y los departamentos. La tramitología de los documentos entre la secretaria y los departamentos se hará digitalmente con firma digitalizada y de ser el caso con firma electrónica.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

15

5.4. Establecer plazos para el desarrollo, así como cumplimiento de las labores. Cada jefe envía por correo las tareas, el tiempo en que deben ser desarrolladas, la forma de enviar el producto, que será a través del correo electrónico del departamento, asumiendo cada jefe la responsabilidad del cumplimiento, al margen de la responsabilidad por el incumplimiento del trabajo encomendado y se establece el mecanismo de supervisión de la labor encomendada. La supervisión, será realizada a través de Screenshot Monitor, donde la DIRREHUM PNP - DIVSICPAL brindará el apoyo remoto a los servidores /as, responsables del monitorio de las labores realizadas bajo la modalidad que nos ocupa. Poner a disposición del servidor los elementos técnicos necesarios para el desarrollo de la actividad. X. SEGURIDAD Y SALUD EN EL TRABAJO REMOTO La Unidad Policial Informará al servidor/a sobre las medidas y condiciones de seguridad y salud en el trabajo que deben observarse durante el desarrollo del trabajo remoto, teniendo en consideración que el trabajo será realizado desde una computadora que sea fija o portátil; deberá tener en cuenta el cumplimiento de la normativa sobre seguridad y salud en el trabajo y seguir las siguientes recomendaciones en resguardo de su salud, como: 1. Adaptar el entorno, la iluminación, los muebles, la organización, la postura y el resto de condiciones y hábitos de acuerdo con sus características físicas para lograr la posición que le resulte más cómoda, con el fin de reducir al mínimo la fatiga y las molestias, y disminuir el riesgo de sufrir tensiones que incluso pueden provocar lesiones. 2. La iluminación general deberá garantizar una luz suficiente y el contraste adecuado entre la pantalla y su entorno. 3. Evitar deslumbramientos y reflejos, por lo que, es recomendable que las ventanas no estén enfrente ni a su espalda, procurando regular la luz de día. 4. Evitar las corrientes de aire molestas asegurándose la renovación de aire limpio. 5. Debe apoyar los pies firme y cómodamente en el suelo cuando está sentado. Utilizar una silla y una superficie de trabajo ajustables que le permitan apoyar los pies firmemente en el suelo o usar un reposapiés. 6. Evitar acumular presión debajo de los muslos cerca de la rodilla y en la pantorrilla. Debe estirar las piernas y cambiar su posición a lo largo del día. 7. Por lo menos 2 de las 8 horas laborales, debe estar en distinta posición. Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

16

8. Debe utilizar la silla para apoyar totalmente el cuerpo, distribuir su peso de manera uniforme y usar todo el asiento y el respaldo para apoyar su cuerpo, si su silla tiene un soporte lumbar ajustable es aconsejable que alinee los contornos del respaldo de la silla con la curva natural de la parte inferior de la columna vertebral. 9. Al utilizar el teclado o el mouse es recomendable que mantenga las manos, las muñecas y los antebrazos en una posición neutra y cómoda, paralela al plano de la mesa. 10. Al escribir, es mejor que no inmovilice ni apoye las muñecas en la superficie de trabajo, en sus rodillas o en un descanso para las palmas de la mano (a veces denominado reposamuñecas). 11. Cuidar la vista, descansando con frecuencia, alejándola del monitor y mirando hacia un punto distante, aprovechando para estirarse, respirar profundamente y relajarse. 12. Mantener limpios los lentes, así como la pantalla. 13. El monitor debe estar en una postura adecuada que reduzca el cansancio ocular y la fatiga muscular, ajustando el ángulo de inclinación del monitor. Colocar el monitor cerca de esa posición. De ser necesario, acercar o alejar el monitor hasta que pueda ver el texto en la pantalla de manera clara y cómoda. 14. La ubicación del monitor debe permitirle mantener la cabeza en una posición equilibrada y cómoda respecto a los hombros. No tendría que doblar el cuello hacia delante de manera incómoda o hacia atrás en ningún momento. 15. Dedicar un momento a eliminar el brillo y los reflejos. 16. Para controlar la luz del día, usar cortinas, persianas o toldos, o bien debe procurar adoptar otras medidas para reducir el brillo. Usar iluminación indirecta o reducida para evitar los reflejos en la pantalla. 17. Si el brillo es un problema, considere estas medidas: a. Traslade el monitor a un lugar donde no haya brillo ni reflejos. b. Apague todas o algunas de las luces del techo y use iluminación localizada (una o más lámparas ajustables) para realizar su trabajo. c. Si no puede controlar las luces del techo, trate de colocar el monitor entre las hileras de luces, en lugar de colocarlo directamente debajo de una hilera de luces. d. Coloque una visera en el monitor. Este dispositivo puede consistir en un simple trozo de cartón extendido sobre el borde superior frontal del monitor. e. Evite inclinar o hacer girar la pantalla de una forma que le lleve a adoptar una postura incómoda de la cabeza o la espalda. f. Coloque el teclado, el mouse y los demás dispositivos de entrada de datos de manera que pueda usarlos con el cuerpo en una posición relajada y cómoda. g. Coloque el teclado directamente frente a usted para evitar torcer el cuello y el torso; de esta manera podrá escribir con los hombros relajados y brazos sueltos de manera cómoda. Si usa el teclado de la altura del codo debe coincidir prácticamente con la de la hilera del medio del teclado ajuste la elevación del teclado de Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

17

h.

i.

j.

k.

l.

m.

modo que los antebrazos, las muñecas y las manos se encuentran en una posición neutra y cómoda. Los reposabrazos de la silla o superficie de trabajo están ajustados correctamente para teclear cuando los hombros están relajados, los antebrazos se apoyan uniformemente y pueden moverse libremente al teclear, y las muñecas se encuentran en una posición neutra y cómoda. Los reposabrazos no estarán ajustados correctamente si los hombros están encogidos o caídos, cuando sienta presión en uno o ambos codos, cuando los codos se encuentren extendidos hacia los lados, cuando las muñecas, los antebrazos o los codos estén en una posición fija al teclear o cuando las muñecas se encuentren excesivamente dobladas. En el caso de las computadoras portátiles, haga caso de las señales de su cuerpo para efecto de la variación de la postura corporal o la ubicación de la misma. Cuando se trabaja con una computadora portátil, mantenga los hombros y el cuello relajados, y la cabeza en una posición equilibrada respecto a los hombros. Cuando trabaje con el ordenador portátil en las rodillas, le puede resultar cómodo elevar la altura de la pantalla colocando una superficie de apoyo debajo. Altura del asiento: la altura de los codos debe coincidir prácticamente con la hilera del medio del teclado. Debe poder apoyar los pies firmemente al suelo.

Se debe tener presente en todo momento que el Trabajo Remoto implica el contar con una computadora de escritorio o portátil, para el acceso al servidor del departamento, por lo que, para implementar este ítem, la PNP, deberá realizar las acciones siguientes: i. Contar con el requerimiento de cada área de trabajo para la entrega d e computadoras que el personal necesite para la realización del Trabajo Remoto, de ser el caso. ii. Verificar el inventario de las computadoras personales entregadas a los diferentes unidades, a fin de determinar si la entrega la realizara el área que requiere o la DIRADM - DIVLOG PNP (División de Logística) de contar con disponibilidad de equipos. iii. El servidor suscribirá la Constancia de Entrega del Equipo asignado, asumiendo la responsabilidad de la perdida, deterioro o cualquier contingencia que impida la devolución del bien en las mismas condiciones en la que le fuera entregado.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

18

XI.

PROCEDIMIENTO TECNOLOGICO A. Antes de implementar el Trabajo Remoto i. ii. iii. iv. v. vi. vii. viii. ix. x.

Documentar políticas y procedimientos del Trabajo Remoto. Seleccionar a las personas adecuadas para el trabajo. Analizar la Infraestructura Tecnológica existente de las TICs. Analizar los Procesos de administración para el uso de herramientas. Analizar Disponibilidad de Mesa de ayuda para trabajadores remotos. Analizar la Seguridad de la red y políticas de seguridad de la información. Equipar a los trabajadores remotos para tener éxito. Analizar Accesibilidad a Internet. Determinar las Métricas de seguimiento durante la ejecución. Establecer las pautas para la gestión y supervisión del Trabajo Remoto.

B. Durante la ejecución del Trabajo Remoto. Proceso de autenticación de usuarios de Trabajo Remoto: Manejo de documentos físicos y su integración en la nube (de ser el caso). Herramienta tecnológica: Por parte de la Organización: 1. Servicio de conexión a Internet 2. Seguridad de acceso y autenticación en la red. 3. Políticas de seguridad de información 4. Antivirus actualizado. 5. Contar con escáner, y con un software que permita agrupar páginas del documento en un solo archivo PDF (ejemplo PDF Creator) 6. Usuarios de Google Drive. 7. Capacitación para el uso del escáner y uso de Google Drive. Por parte del Trabajador Remoto: 1. Conexión a Intranet para ingresar a Google Drive. 2. Equipo (Computadora, Tablet, celular) para conexión a Internet. 3. Antivirus. 4. Usuarios de Google Drive. 5. Capacitación para el uso de Google Drive.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

19

XII.

DE LOS ROLES, PROCEDIMIENTOS Y RESPONSABILIDADES DE LOS SERVIDORES POLICIALES PARA EL TRABAJO REMOTO. Para los fines del cumplimiento de las labores del servidor que realiza el trabajo remoto el servidor policial debe considerar lo siguiente: ROLES El servidor/a policial desarrolla la siguiente actividad laboral: 1. Recepción de documentos externos (recibe y deriva documentación de las áreas). 2. Digitaliza los documentos (digitalizar y sube los documentos a la nube y comparte al destinatario). 3. Atiende el Trabajo Remoto e Interactúa con el/la trabajador/a, posibilitando el flujo de documentos). PROCEDIMIENTOS: 1. Recepción de documentos físicos externos: I. Recibe los documentos físicos externos II. El servidor identifica si el destinatario tiene condición de trabajador/a remoto/a y transfiere el documento al digitalizador de lo contrario deriva el documento físico al área correspondiente. 2.

D i g i t a l i za c ió n d e Documentos Externos Recibido: I. Digitaliza documentos físicos recibidos. II. Une las páginas en un solo archivo PDF. III. Ingresa a la nube haciendo uso de su usuario y clave, de ser el caso. IV. Baja de la nube el documento digitalizado, de ser el caso. V. Comparte con el destinatario o destinatarios del documento. VI. Registra en cuaderno de apuntes el estado de los documentos digitalizados. VII. Archiva los documentos digitalizados y los físicos.

RESPONSABILIDADES DEL TRABAJADOR REMOTO El/la trabajador/a remoto/a, es responsable directo de la confidencialidad y seguridad de la información que utilice y pueda acceder, evitando por todos los medios su uso inapropiado, según se establece en la normativa institucional. El/la trabajador/a remoto/a, debe conocer y manejar las herramientas tecnológicas, que demandan la realización de sus actividades.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

20

ATENCION DEL TRABAJO REMOTO Para llevar a cabo su labor el trabajador/a remoto debe realizar lo siguiente: 1. Ingresar el documento digital haciendo uso de su usuario y clave 2. Realizar la continuidad de los documentos hacia el destino final. 3. Generar, firmar, derivar e imprimir documentos. 4. Realizar las marcaciones de geolocalización en los horarios dispuestos, de ser el caso. 5. Verificar documentación compartida a su usuario. 6. Responder, crear, firmar y derivar documentos digitalmente. XIII. DE LAS HERRAMIENTAS TECNOLOGICAS PARA EL TRABAJO REMOTO Por parte de la PNP: 1. Servicio de conexión a Internet. 2. Servicios de conexión remota de servidor a. VPN. 3. Software de comunicación (de pago libre). 4. Seguridad de acceso y autenticación en la red. 5. Políticas de seguridad de información. 6. Antivirus actualizado. Por parte del/la trabajador/a remoto/a : 1. Servicio de conexión a Internet. 2. Disposición de computadora, Tablet o celular. 3. Servicios de conexión remota. 4. VPN Cliente. 5. Software de comunicación cliente (de pago o libre). 6. Antivirus actualizado. ROLES Se debe contar con: 1. Soporte de redes y comunicaciones (Mantener la disponibilidad de los servicios de comunicación, servidores e información). 2. Trabajador/a remoto/a (Realizar actividades dispuestas por la PNP). PROCEDIMIENTOS Soporte de redes y comunicaciones 1. Mantener los equipos personales prendidos durante el horario de trabajo remoto. 2. Instalar y mantener disponible los servicios de conexión remota. 3. Administrar la seguridad de acceso y autenticación a la red. Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

21

4. Administrar las políticas de seguridad de acceso a la red. Responsabilidades: 1. Trabajar en forma remota 2. Iniciar conexión de acceso remoto 3. Ingresar su usuario y contraseña 4. Iniciar sus actividades remotamente 5. Después de efectuar trabajo remoto se debe analizar la recuperación de la información y medir la productividad y comparar con trabajo presencial. Se adjunta ANEXO a los diagramas de flujo que ilustran dichos procedimientos. XIV. RECOMENDACIONES A. Crear un registro que contenga a los servidores civiles que realizan Trabajo Remoto. B. Utilizar la Matriz de Seguimiento de Actividades propuesta por la Superintendencia Nacional de Fiscalización Laboral SUNAFIL. C. Recomendaciones para el uso responsable del internet. i. Priorizar el trabajo remoto. No ingresar a los videos, películas y juegos en horarios de trabajo remoto evitando sobrecargar las redes del internet. ii. Usar en lo posible el teléfono fijo en vez del móvil para hacer llamadas. iii. Descargar solo los archivos que se necesiten y en horas de poco tráfico. iv. Desconectar los equipos que no estén usando de tu red WIFI. v. Evitar enviar archivos de mucho peso y utilizar enlaces (links) dónde se encuentre almacenado, o una herramienta para comprimir los archivos (ejemplo WinRAR). vi. Evita enviar correos masivos. D. Medidas de seguridad El/la trabajador/a remoto/a debe considerar los siguientes aspectos: Medidas de seguridad: Los usuarios cuando acceden a los sistemas de la PNP desde casa deben seguir las mismas medidas de seguridad que desde la PNP, en este sentido es importante:

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

22

i. Verificar que han firmado el documento de Funciones, Confidencialidad y Obligaciones en cuanto a la protección de datos. ii. Entregar de nuevo el documento para recordar su contenido y que no haya dudas en su aplicación. iii. En caso de ser necesario, habilitar un sistema Cloud profesional para que los trabajadores puedan custodiar documentación en un lugar seguro y evitar que los trabajadores utilicen sistemas Cloud privados y gratuitos. iv. Recordar a los trabajadores el deber de confidencialidad, limitación de acceso a la información de la entidad y la prohibición de ceder datos a terceros. Es frecuente que los usuarios no consideren a los miembros de su familia como terceros, cuando sí lo son. v. En lo posible, deben cumplir con las medidas de prevención de riesgos laborales como aplicable a un nuevo puesto de trabajo, uso de sillas adecuadas, orientación de la pantalla. vi. Establecer accesos a los servidores corporativos por medio conexiones seguras. Uso de equipos privados: si bien es voluntaria, debe ser revisadas y autorizada por la PNP, en caso de autorización se deberá facilitar las instrucciones para que garanticen la seguridad. En concreto: 1. Evitar que personas ajenas con la organización (familiares) accedan a la información de la PNP. 2. Tener un antivirus instalado y actualizado. 3. Crear una cuenta de usuario distinta de la personal. 4. Disponer de contraseñas seguras como lo especifica las políticas de seguridad de la información. 5. Cumplir, en la medida de los posible con todas las medidas de seguridad que se aplican en la PNP que se indican a continuación: i. Activar los bloqueos de pantalla por inactividad. ii. Cerrar las sesiones de trabajo cuando abandonen su puesto de trabajo en su domicilio. iii. Custodiar bajo llave los documentos que se tengan en soporte físico. iv. Comunicar a sus superiores de manera inmediata la configuración de alguna incidencia de seguridad. v. Crear copias de seguridad si trabaja con información que lo requiera. vi. Mantener bajo llave y estar autorizados para custodiar información, si se encuentra contenida en dispositivos Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

23

vii. viii. ix.

x. xi.

pendrive, discos duros externos, que deberán estar encriptados; ello, en caso, la PNP, no haya habilitado un espacio Cloud para la custodia. Actualizar los dispositivos constantemente. Cerrar todas las conexiones con los servidores de la empresa. Eliminar información temporal que se haya podido almacenar en las carpetas de descarga, papelera de reciclaje, mis documentos. Borrar el histórico de navegación, las cookies No guardar contraseñas.

E. Vulnerabilidades La PNP contiene información relevante, esta base de datos está sujeta a una amplia gama de ataques contra la seguridad de la base de datos. En ese sentido, pasamos a enumerarlos, seguido de recomendaciones para mitigar el riesgo de pérdida de cada uno. Privilegios excesivos Cuando a un usuario se le entregan privilegios a la base de datos que excedan los requerimientos de su puesto de trabajo, el riesgo que se crea puede ser innecesario. La solución a este problema (además de buenas políticas de contratación) es el control de acceso a nivel de consulta. El control de acceso a nivel de consulta restringe los privilegios de las operaciones a solo utilizar los datos mínimos requeridos. La mayoría de las plataformas de seguridad de bases de datos nativas ofrecen algunas de estas capacidades (triggers, RLS, y así sucesivamente), pero el diseño de estas herramientas manuales las hace impracticables en todo excepto en las implementaciones más limitados según experiencia de expertos de seguridad web. Abuso de privilegios Muchos de los usuarios pueden llegar a abusar de los privilegios de acceso de datos legítimos para fines no autorizados. Por ejemplo: suministrar información confidencial de un efectivo, sustraer información para su propio lucro. La estrategia para lograr esta solución está relacionada con la política de control de acceso que se aplican no sólo a lo que los datos son accesibles, pero ¿cómo se accede a los datos? Al hacer cumplir las políticas de seguridad web, sobre cosas como la ubicación, el tiempo de aplicación y el volumen de los datos recuperados, es posible identificar a los usuarios que están abusando de los privilegios de acceso.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

24

Elevación de privilegios no autorizados Los atacantes pueden aprovechar las vulnerabilidades en el software de gestión en la base de datos para convertir los privilegios de acceso de bajo nivel de privilegios de acceso de alto nivel. Por ejemplo, sin seguridad de bases de datos, un atacante podría aprovechar una vulnerabilidad de desbordamiento de búfer de base de datos para obtener privilegios administrativos. Los Exploits de elevación de privilegios pueden ser derrotados con una combinación de control de acceso a nivel de consulta, auditoría de base de datos y los sistemas de prevención de intrusiones (IPS) tradicionales. Control de acceso a nivel de consulta puede detectar un usuario que de repente utiliza una operación de SQL inusual, mientras que un IPS puede identificar una amenaza específica de seguridad web documentada dentro de la operación. Vulnerabilidades de la plataforma Las herramientas de IPS son una buena manera de identificar y / o bloquear ataques diseñados para aprovechar las vulnerabilidades de la plataforma de base de datos. Las vulnerabilidades en los sistemas operativos pueden conducir al acceso no autorizado a datos y la corrupción. Las vulnerabilidades son fallos en el programa susceptibles de ser aprovechados por ciberdelincuentes. Un IPS es un software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de prevención de intrusos es considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos. Inyección de SQL Los Ataques de inyección SQL implican a un usuario que se aprovecha de vulnerabilidades en aplicaciones web y procedimientos almacenados para proceder a enviar consultas de bases de datos no autorizadas, a menudo con privilegios elevados. La mayoría de las aplicaciones web desarrolladas hoy en día hacen uso de una base de datos para ofrecer páginas dinámicas y almacenar información tanto de los usuarios como de la propia herramienta, el uso de este tipo de lenguaje ha traído consigo la aparición de numerosas vulnerabilidades. Soluciones de seguridad de bases de datos, auditoría de base de datos, control de acceso a nivel de consulta detecta consultas no autorizadas inyectadas a través de aplicaciones web y/o procedimientos almacenados.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

25

Auditoría débil Las redes han evolucionado considerablemente en los últimos años, desde el computo o el móvil hasta la nube, todos los sistemas están haciendo que las redes actuales sean más complejas, incluso las mismas herramientas que son utilizadas para administrar la seguridad de red pueden expandir el ataque y crear vulnerabilidades. Las políticas débiles de auditoría de base de datos representan riesgos en términos de cumplimiento, la disuasión, detección, análisis forense y recuperación, por desgracia, el sistema de gestión de base de datos nativa (DBMS) audita las capacidades que dan lugar a una degradación del rendimiento inaceptable y son vulnerables a los ataques relacionados con el privilegio, es decir, los desarrolladores o administradores de bases (DBA) puede desactivar la auditoría de base de datos. La mayoría de las soluciones de auditoría de base de datos también carecen del detalle necesario, por ejemplo, los productos DBMS rara vez registran qué aplicación se utiliza para acceder a la base de datos, las direcciones IP de origen y falló de consultas. Las soluciones de auditoría de base de datos basados en la red son una buena opción, (tales soluciones de auditoría de base de datos) no deben tener ningún impacto en el rendimiento de base de datos, operan de forma independiente de todos los usuarios y ofrecen la recopilación de datos a detalle. Denegación de servicio DDoS En internet, un ataque de denegación de servicios (DDoS) es el que se realiza cuando una cantidad considerable de sistemas atacan a un objetivo único, provocando la denegación de servicio DoS, aunque puede ser invocadas muchas técnicas, las técnicas más comunes de DDoS incluyen desbordamientos de búfer, corrupción de datos, la inundación de la red y el consumo de recursos. La prevención de SERVICIO DoS debería ocurrir en múltiples capas que, incluyendo de red, aplicaciones y bases de datos, según recomendaciones de cursos de seguridad de WEB y bases de datos. Recomendaciones sobre las bases de datos incluyen el despliegue de un IPS y controles de la velocidad de conexión, al abrir rápidamente un gran número de conexiones, los controles de velocidad de conexión pueden impedir que los usuarios individuales usan los recursos del servidor de base de datos. Vulnerabilidades en los protocolos de las bases de datos.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

26

Existe una constante preocupación por la seguridad de la base de datos, muchas veces la seguridad se ve afectada por la configuración de los procesos de conexión. Las vulnerabilidades en los protocolos de bases de datos pueden permitir el acceso no autorizado a datos, la corrupción o la disponibilidad. Por ejemplo, SQL Slammer worm se aprovecha de una vulnerabilidad de protocolo de Microsoft SQL Server para ejecutar código de ataque en los servidores de base de datos destino. Los protocolos de ataques pueden ser derrotados mediante el análisis y validación de las comunicaciones de SQL para asegurarse de que no están malformados, pueden aprender más sobre este ataque durante cursos de seguridad suministrados por Ona Systems. Autenticación débil. La autenticación basada en contraseña es probablemente una de las funciones más importantes que se usan todos los días, sin embargo, no se ha evolucionado mucho desde los primeros sistemas informáticos de usuarios múltiples, incluso cuando se desarrollan métodos más seguros, los esquemas de autenticación débiles permiten a los atacantes asumir la identidad de los usuarios de bases de datos legítimos. Estrategias de ataque específicas incluyen fuerza bruta, la ingeniería social, y así sucesivamente, la implementación de contraseñas o autenticación esos dos factores es una necesidad. Para la escalabilidad y facilidad de uso, los mecanismos de autenticación deben integrarse con las infraestructuras del directorio / gestión de usuarios y seguridad web. Exposición de los datos de backup. El hurto de información y la filtración de datos confidenciales son noticias del día a día, algunos ataques recientes de alto perfil han involucrado el hurto de cintas de backup de base de datos y discos duros. Es importante que todas las copias de seguridad deban ser cifradas, de hecho, algunos proveedores han sugerido que los futuros productos DBMS, no deberían admitir la creación de copias de seguridad sin cifrar, el cifrado de base de datos en línea es un pobre sustituto de controles granulares de privilegios acuerdo a expertos de seguridad de base de datos. Los sistemas informáticos en la actualidad pueden ser víctimas de diversos tipos de siniestro: ataques remotos por parte de hackers o de virus informáticos, destrucción física de los soportes de almacenamiento, e incluso eliminación accidental por parte de un usuario autorizado. En estos casos se recurre manual o automáticamente al backup para restaurar la información perdida, minimizando así las pérdidas en materia de datos o información.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

27

Recomendaciones contra vulnerabilidades. El Trabajo Remoto es una valiosa herramienta estratégica, pero a la vez no convence del todo a muchos porque estos dispositivos que trabajan de manera remota pueden convertirse en un verdadero “talón de Aquiles” para la seguridad de la información. En muchos casos el personal que hace trabajo remoto no sólo usa sus dispositivos personales, que son amenazados por falta de herramientas de seguridad, sino que además se conectan a sus redes WiFi caseras, las cuales están fuera del control y la supervisión de los departamentos TI (Tecnología de información) es por esta razón que se hace crucial observar las siguientes recomendaciones que comparte la PNP:

1. Esquema de Trabajo Adoptar un esquema de trabajo remoto y realizar una visita técnica si fuera el caso, al lugar donde laborara el colaborador, esto, con el fin de evaluar y adecuar las herramientas tecnológicas que puedan bloquear y evitar una fuga de información sensible, un antivirus robusto o la implementación de claves seguras pueden hacer una gran diferencia. 2. VPN Conectarse del trabajo remoto a una Red Privada Virtual (VPN Virtual Private Network), es una medida que asegurara la integridad de la información que se va a manejar, estas redes protegen los datos a través de la encriptación y permiten conectarse de forma más segura desde todos los dispositivos, incluso desde puntos de acceso de Wifi públicos. 3. Capacitación Capacitar permanentemente en temas de ciberseguridad a los empleados que van a trabajar remotamente es también fundamental porque tanto estos como quienes cumplen sus funciones de manera presencial, deben estar muy bien informados acerca de las amenazas cibernéticas que a diario aparecen o mutan. Para estos empleados es fundamental conocer el comportamiento de virus como los malwares, capaces de robar, secuestrar o destruir los datos sensibles de la empresa. Para realizar este trabajo de sensibilización y enseñanza es importante asesorarse de expertos que manejen información de vanguardia. 4. Filtrado Implementar herramientas de filtrado de contenidos y visibilidad de aplicaciones, es otra medida que puede complementar el trabajo Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

28

remoto, principalmente porque estas tienen la funcionalidad de cerrarle el paso a muchas amenazas disfrazadas en sitios web, links y mensajes engañosos que pueden atacar los dispositivos y la información. 5. Normas Elaborar normas claras para evitar rotundamente la conexión de discos externos, memorias y todo tipo de dispositivos que puedan acceder por los puertos USB. Estos, fácilmente podrían instalar virus o malwares que con el paso del tiempo tienen la capacidad de terminar alojados en la red interna corporativa causando grandes daños. Aunque muchas de las bases de datos y sus contenidos puedes ser vulnerables a diversas series de amenazas internas y externas, es posible reducir muchos de los ataques hasta casi a cero con ayuda de las soluciones y estrategias de seguridad suministradas. Para llegar a la ejecución del trabajo remoto se debe haber superado sus propias barreras de la seguridad interna, que se logran con políticas como una administración centralizada, el mejoramiento continuo de la infraestructura TI, el uso de herramientas de seguridad informática propias y la implementación de datacenters propios que tienen la gran ventaja de evitar que su información se gestione fuera de las instalaciones. Así mismo, debemos manejar buenas prácticas de seguridad, como las auditorías externas, el permanente análisis de vulnerabilidades, el uso de softwares de prevención de intrusos (o IPS, por sus siglas en inglés IPS), así como la visualización de las IP de funcionarios de infraestructuras críticas, con el fin de cruzar posible información de amenazas. 6. Política de seguridad Emplear la política de seguridad de la información incorporando directrices específicas para el Trabajo Remoto que incluyan, como mínimo, aspectos vinculados a la autenticación, seguridad, autorización, acceso remoto y uso de herramientas colaborativas por parte de la entidad. 7. Autenticación Habilitar, de manera progresiva, el acceso remoto con el uso de al menos dos factores de autenticación, donde por lo menos uno Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

29

se encuentre separado del dispositivo distinto a la computadora que tiene acceso. Solicitar autenticación periódica a tele trabajadores que accedan a recursos o dispositivos móviles de manera remota: a) Después de ocho (08) horas de iniciada la sesión b) Se identifique 45 minutos de inactividad. Promover el uso de certificados digitales para la autenticación del servidor durante la configuración de un canal de comunicaciones seguro. Los servidores, estaciones de trabajo u otros dispositivos en la red de acceso remoto deben mantenerse completamente parcheados y monitoreados desde computadoras confiables y personal debidamente autorizados. 8. Autorización Realizar verificaciones del estado del dispositivo de El/la trabajador/a remoto/a, (software antimalware actualizado, sistema operativo actualizado, entre otros que defina la entidad) en base a los cuales se puede determinar el acceso remoto, para esto puede hacer uso de alguna tecnología (software o hardware). 9. Confidencialidad e integridad de las comunicaciones. Promover la comunicación e intercambio de información a través del uso de redes privadas virtuales (VPN). Realizar pruebas de acceso remoto para detectar vulnerabilidades en los servidores, redes privadas virtuales (VPN), túneles seguros (SSH), aplicaciones de escritorio y módems de acceso telefónico. Realizar el escaneo de puertos o pruebas de penetración. 10. Disponibilidad de la información Establecer procedimientos para asegurar el respaldo de la información de los dispositivos usados por el trabajador/a remoto/a. 11. Uso de herramientas colaborativas Propender al uso de las tecnologías digitales, redes sociales o canales digitales para el desarrollo de reuniones de coordinación, supervisión o articulación. 12. Responsabilidades. Se deberá verificar al responsable del cumplimiento La PNP en coordinación con el Oficial de Seguridad de la Información, coordina la implementación de los Lineamientos de seguridad digital para el Trabajo Remoto en sus departamentos, siendo responsable de realizar el seguimiento del Trabajo Remoto. Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

30

El Oficial de Seguridad de la Información coordina la evaluación y gestión de riesgos de la implementación de las medidas establecidas. Establecer una red de acceso remoto a servidores, estaciones de trabajo, dispositivos móviles, computadoras personales u otros dispositivos monitoreados desde computadoras confiables y personal acreditado y autorizado por la entidad. Propender al uso de las tecnologías digitales, redes sociales o canales digitales para el desarrollo de reuniones de coordinación, supervisión o articulación con funcionarios o servidores públicos a nivel nacional. Establecer procesos para autenticar la identidad digital de usuarios y dispositivos que acceden a la red de acceso remoto, en sus Computadoras personales. Adoptar el uso de herramientas colaborativas en línea, licenciadas o gratuitas, para desarrollo de actividades y trabajo a distancia de forma coordinada. 13. Tipos de ataques en la web a marzo 2020. Ramsoware: Secuestro de datos o secuestro de archivos es un tipo de virus o programa dañino que te quita el acceso a cambio de dinero. Troyano: Es un malware que parece legítimo inofensivo que al ejecutarlo le brinda acceso remoto al equipo infectado. Keyloggers: Es un tipo de virus o software específico que se encarga de registrar las pulsaciones que se registran en el teclado. Phishing: Es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima. Malware: Software malintencionado dirigido a cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada y sin el conocimiento del usuario. Backdoor: Es un troyano que abre una puerta trasera en el sistema de tu computadora y permite que un hacker remoto tome el control de tu equipo sin que lo sepas. VECTORES DE ATAQUE EN EL TRABAJO REMOTO. (Fuente AMERIPOL) Suplantación de Autoridades en la Web (Confirmación de correo electrónico comercial) Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

31

Campañas de Fake News (Fraudes y Estafas E-Commerce) Ataques al Trabajo Remoto (Secuestros de Dóminos Web) Campañas de Malware (Falsos Sitios Web - Cadenas en plataformas de Chat) Ataques Denegación de Servicio (Incremento de SPAM y Phishing)

Secuestro de Datos (Reclutamiento de Mulas de Dinero) (Incremento en el uso de la Dark Web) XV. APLICACIÓN EXTENSIVA DEL TRABAJO REMOTO. a. Conforme al presente Manual Práctico para el Trabajo Remoto que en su numeral I. Objetivos, señala que el propósito es unificar las acciones laborales de todos los actores de la Policía Nacional del Perú que intervienen en el Trabajo Remoto, precisase que esta es de aplicación a efectivos y servidores civiles (D. Leg. N.º 276, D. Leg. N.º 728, CAS), que laboran en la PNP y se encuentren o no, dentro del grupo de riesgo con aislamiento obligatorio al amparo de las normas del COVID-19. b. Igualmente, el Trabajo Remoto es de ejecución y de aplicación para efectivos policiales que por función cumplen trabajo a nivel nacional. Comprende a los efectivos policiales en Misión Diplomática adscritos al Ministerio de Relaciones Exteriores, en el cargo de Agregados Policiales, Agregados Policiales Adjuntos y en el cargo de Personal Auxiliar de las Agregadurías, quienes a la fecha de la declaración del estado de emergencia previsto en el D.S. N.º 044-2020-PCM y sus ampliatorias, que declara Estado de Emergencia Nacional por las graves circunstancias que afectan la vida de la nación a consecuencia del brote del COVID-19, se encuentran en territorio nacional, haciendo uso de sus vacaciones, comisión o por motivos de salud, quienes por la emergencia se ven imposibilitados de retornar a sus respectivas sedes internacionales, encontrándose a la fecha y hasta el término del estado de emergencia, realizando Trabajo Remoto. CONTACTOS Correo electrónico secretaria………[email protected] Teléfono de la Mesa de ayuda………(01) 5929032.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

32

GLOSARIO  Acceso Remoto: Es el acto de conectarse a servicios, aplicaciones o datos de TI desde una ubicación distinta a la sede central o una ubicación más cercana al centro de datos. Esta conexión permite a los usuarios acceder a una red o una computadora de forma remota a través de una conexión a Internet o telecomunicaciones.  Amenazas cibernéticas. Son problema de todos los criminales cibernéticos no solo se infiltran en nuestros sistemas – en muchas instancias, ellos ya se encuentran dentro de estos, evaluando qué información puede serles valiosa y esperando el momento de actuar.  Archivo Electrónico. Es una herramienta que permite almacenar de forma electrónica los documentos de una entidad para garantizar su disponibilidad, legibilidad y accesibilidad a largo plazo.  Certificado digital o certificado electrónico Es un fichero informático firmado electrónicamente por un prestador de servicios de certificación, considerado por otras entidades como una autoridad para este tipo de contenido, que vincula unos datos de verificación de firma a un firmante, de forma que únicamente puede firmar este firmante, y confirma su identidad. Tiene una estructura de datos que contiene información sobre la entidad (por ejemplo, una clave pública, una identidad o un conjunto de privilegios).  Datacenters. Centro de procesamiento de datos o bien proceso de datos (CPD) (en inglés: data center o data centre) al espacio donde se concentran los recursos necesarios para el procesamiento de la información de una organización.  Digitalización de Documentos. La digitalización de documentos es un proceso tecnológico que permite, mediante la aplicación de técnicas fotoeléctricas o de escáner, convertir la imagen contenida en un documento en papel en una imagen digital.  Entidad Pública: Es aquella descrita en el Artículo I del Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 004-2019-JUS.  Geolocalización. Es la capacidad para obtener la ubicación geográfica real de un objeto, como un radar, un teléfono móvil o un ordenador conectado a Internet.  Google Drive: Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

33

Es un servicio de almacenamiento de archivos en la nube y sincronización de estos con otros dispositivos donde se tenga instalada la herramienta Google Drive, es decir, los recursos están disponibles no solo en el computador donde fueron creados o guardados, sino también en la web.  Herramienta de filtrado. Un sistema de filtrado de información (Information filtering system en inglés) es un sistema que remueve la información redundante o no deseada de un flujo de información utilizando métodos semiautomáticos o computarizados previo a la presentación de la información al usuario.  Herramientas Tecnológicas. Están diseñadas para facilitar el trabajo y permitir que los recursos sean aplicados eficientemente intercambiando información y conocimiento dentro y fuera de las organizaciones.  Intranet. Es un sistema de red privado que permite compartir recursos entre sus miembros.  IPS Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos.  PNP Policía Nacional del Perú  Puesto. Es el conjunto de funciones y responsabilidades que corresponden a una posición dentro del OEFA, así como los requisitos para su adecuado ejercicio.  Servidor/a. Es la persona que mantiene un vínculo laboral con la PNP independientemente de su régimen laboral.  Servir Es la Autoridad Nacional del Servicio Civil, organismo técnico especializado rector del Sistema Administrativo de Gestión de Recursos Humanos del Estado, que tiene como finalidad contribuir a la mejora continua de la administración del Estado a través del fortalecimiento del servicio civil.

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

34

 Supervisor/a. Encargado/a de realizar las coordinaciones y supervisiones directas con los/las trabajadores/as remotos/as. Recae en el/la jefe/a inmediato/a del/la los/las trabajadores/as remotos/as y, es designado por el/ la jefe/a del órgano o unidad orgánica.  Tecnológicas de Información y Comunicaciones (TIC) Es el conjunto de recursos, herramientas, equipos, programas informáticos, aplicaciones, redes y medios que permiten la compilación, procesamiento, almacenamiento y transmisión de información, como audio, datos, texto, vídeo e imágenes.  Trabajador/a Remoto/a Es el trabajador/a, que realiza su labor sin presencia física en las instalaciones de la PNP, ejecutándola a través de medios informáticos, de telecomunicaciones y análogos, mediante los cuales, a su vez, se ejerce el control y la supervisión de las labores.  Titular de Entidad. Es la máxima autoridad administrativa de la PNP  Seguridad de la Información Es el conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos.  Software de prevención de intrusos. Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de prevención de intrusos es considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos.  Túneles de seguros (SSH). Se conoce como túnel o tunneling a la técnica que consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel de información dentro de una red de computadoras. El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté tratando, como por ejemplo la comunicación de islas en escenarios multicast, la redirección de tráfico, etc.  VPN. VPN significa Virtual Private Network, red privada virtual en español. Una red privada virtual te da un mayor nivel de protección y privacidad cuando navegas por Internet, ya sea desde casa o desde fuera. Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

35

 Vulnerabilidad. En términos de informática es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma, por lo que es necesario encontrarlas y eliminarlas. ANEXOS

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

36

Jr. Los Cibeles 191 – Distrito del Rímac EMAIL. [email protected]

37