Manual redes&comunicaciones politicas de seguridad

25
Manual de Políticas de Seguridad Redes y Comunicaciones Documento: Administracion de la Seguridad Informatica para la Infraestructura Fisica y Logica de la sede del Instituto SISE “Sede Santa Beatriz” Estudiante: Gustavo Chuque Vega REDES Y COMUNICACIONES VI CICLO

Transcript of Manual redes&comunicaciones politicas de seguridad

Page 1: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

Documento:Administracion de la Seguridad

Informatica para la Infraestructura Fisica y Logica de la sede del Instituto

SISE

“Sede Santa Beatriz”

Estudiante: Gustavo Chuque VegaProfesor: Waldir Cruz

REDES Y COMUNICACIONES

VI CICLO

Page 2: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

INTRODUCCION

La información sobre la seguridad informática debe de ser constante para poder evitar ataques, prevenir y poder enfrentarnos a estas situaciones.

En la actualidad el mundo de internet sigue creciendo a pasos gigantes, con este gran crecimiento también crecen la inseguridad.

El instituto SISE, desde su creación, es una institución que cada año avanza en la mejora de la educación en el Perú, hoy en día SISE es un instituto reconocido, en la ciudad de Lima por sus convenios y sus gran cantidad de sedes que hoy en día abarcan más de 7 distritos de la capital y la uno en la ciudad de Arequipa.

Aparte SISE pertenece a la Organización SISE que lo conforman los Colegios SISE, los Institutos SISE, Los Instituto de inglés SISE, y ahora ultimo con la Universidad Privada SISE.

La infraestructura de red actual de la sede de SISE, cuenta varias desventajas entre ellas la seguridad, ya que por los tantos esfuerzos que se han hecho no se ha logrado aunque la seguridad sea buena. Este es el propósito de este documento, mejorar la seguridad de la red de SISE.

Page 3: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

INFORMACION DE LA SEDE SANTA BEATRIZ “SISE”

Ubicación Geográfica:

La sede del instituto SISE ubicado en la Avenida Arequipa 1290, distrito de Lima. Es la sede principal, esta recibe al mayor alumnado que las demás sedes. Esta sede al igual que las demás sedes de SISE ofrece las carreras de Computación e informática, Publicidad y la carrera de gestión y negocios. Además de organizar los eventos más importantes entre todas las sedes de SISE.

Page 4: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

CONCEPTO:

La seguridad informática es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios.

¿Que son Políticas de Seguridad Informática?

Una política de Seguridad Informática es una forma de comunicarse con el personal y/o usuarios. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informático, importantes de la organización.Es un conjunto de requisitos definidos por los responsables de un sistema que indica en términos generales que esta y que no está permitido en el área de seguridad durante la operación general del sistema.

Page 5: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

MANUAL DE POLITICAS DE SEGURIDAD INFORMATICA PARA EL

INSTITUTO SISE

1.- Objetivos Generales

Las políticas y estándares de Seguridad Informática tienen por objeto establecer medidas técnicas y de organización de las tecnologías de información y de las personas que interactúan haciendo uso de los servicios informáticos que proporciona la Empresa y contribuyendo con la función informática a la mejora y complimiento de metas institucionales. Es aplicable a los usuarios en general de servicios de tecnologías de información centro de Estudios.

De igual forma será una herramienta que difunde las políticas y estándares de seguridad informática a todo el personal de la Institución Superior Educativa

Asegurara: Mayor integridad, confidencialidad y confiabilidad de la información generada por el Centro, al personal, los datos y el hardware y software disponibles.

1.1 Objetivos Específicos

Elaborar un manual de políticas de seguridad informática para el Personal del Centro adaptado a las necesidades y activos tecnológicos del instituto así como la naturaleza de la información que se maneja en el mismo.

Page 6: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

2.- Beneficios

Las políticas y estándares de seguridad informática establecidas dentro de este manual son la base para la protección de los activos tecnológicos e información de la Institución Educativa.

3.-Existen 3 tipos de criterios de seguridad informática:

Seguridad Organizativa:Asegura el cumplimiento de normas, estándares y procedimientos físico-técnicos.

Seguridad Lógica:Actúan directa o indirectamente sobre la información procesada por los equipos.

Seguridad Física:Actúan directamente sobre la parte tangible, la parte física.

4.- Los niveles de seguridad fueron organizados constatando un enfoque objetivo de la situación real de la institución, desarrollando cada política con cuidado sobre qué activo proteger, de qué protegerlo cómo protegerlo y por qué protegerlo;Los mismos se organizan siguiendo el esquema, normativo de seguridad, ISO 17799 y que a continuación se detalla:

a) Nivel de Seguridad Organizativo:

Seguridad Organizacional

Políticas de Seguridad

Clasificación y Control de Activos

Page 7: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

Seguridad Ligada al Personal

b) Nivel de Seguridad Física: 

Seguridad Física

Seguridad Física y Ambiental

c)Nivel de Seguridad Lógico:

Control de Accesos

Administración del Acceso de Usuarios

Control de Acceso a la Red, Aplicaciones

Desarrollo y Mantenimiento de Sistemas

d) Se tiene también un cuarto Nivel de Seguridad Legal, el cual lo nombramos también, ya que se encuentra dentro de la ISO 17799, no cuenta con relación del todo en la seguridad informática, pero se menciona:

Nivel de Seguridad Legal

Cumplimiento de aspectos legales

Page 8: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

5.- Vigencia:

El presente manual entrara en vigencia, previa aprobación de autoridades del Instituto SISE correspondientes y previéndose los medios de difusión entre todo el personal de la Institución.Todo cambio referente a la infraestructura tecnológica, naturaleza de las aplicaciones u otros causados por exigencias del Instituto hará necesario efectuar una revisión y actualizaciones del presente documento, estas actualizaciones y revisiones están previstas dentro del control de cambios adjunto al documento.

6.- Sanciones

Las sanciones a aplicarse al personal que incumpla las normas de este manual quedan bajo el criterio de las autoridades de la Institución Superior.

Page 9: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

POLITICAS Y NORMAS DE SEGURIDAD INFORMATICA PARA EL INSTITUTO SISE

POLITICAS:

El sistema de la Institución es de uso solo académico, de investigación, técnico y para casos administrativos, cualquier alteración en la norma de uso de los mismos, será expresa y adecuada como política de seguridad en este manual.

Obligaciones del Personal

Es responsabilidad del Personal de Equipos y Servicios tecnológicos del Instituto cumplir las políticas y normal del Manual de Políticas de Seguridad para el Centro Superior.

Entrenamiento y Capacitación en Seguridad Informática:

Todo empleado de la Institución de nuevo ingreso deberá contar con la inducción sobre el Manual de Políticas de Seguridad Informática donde se den a conocer las obligaciones para los usuarios y las sanciones que pueden existir tras el incumplimiento.

Responsabilidades:

El administrador de Sistemas es el encargado de mantener en buen estado los servidores dentro de la red Institucional.

1. Se tendrá acceso a internet, siempre y cuando se cumpla las medidas mínimas de seguridad para acceder a este servicio y acaten las normas de los laboratorios y/o oficinas administrativas de la Institución.

Page 10: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

2. Las actividades como exámenes, practicas, clases, tareas, maquinas libres, en los laboratorios de Computo tienen la primera prioridad, por lo que a cualquier alumno utilizando otro servicio (Ejemplo: Chat , internet) se le podrá indicar que abandone el laboratorio, si así fuese necesario.

Responsabilidad por Los Activos:

1.- La persona encargada de cada área de trabajo tendrá la responsabilidad sobre el Hardware y Medios Físicos (Aire Acondicionado, Servidores, activo de Información como Base de Datos, Documentos, etc. y Activos de  software (aplicaciones, software de sistemas, herramientas y programas de desarrollo2.- Los administradores del Sistema son los responsables de lo que se almacena y su seguridad en estos recursos.

SEGURIDAD AL PERSONAL

Todo empleado y colaborador del Instituto SISE, que debido a sus funciones debe manipular y utilizar equipos y servicios tecnológicos de la infraestructura de comunicación de esta, independientemente de su jerarquía en la Institución, debe firmar un convenio en el que acepte, condiciones de Confidencialidad y Manejo de información digital generada en sus funciones, el manejo adecuado de los recursos informáticos, así como el apego a las normal y políticas del presente manual.

Usuarios Nuevos:

Todo el personal nuevo de la Institución Superior, deberá ser notificado ante el área de Sistemas y Tecnología para dar los derechos correspondientes, por el área de Recursos Humanos vía correo electrónico.

Registro en el Sistema de Asistencia

Equipo de Computo

Derechos de acceso al servidor

Page 11: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

Correo electrónico institucional ([email protected])

Agregar cuenta de correo al grupo (GRUPSISE)

Alta de Bitácora de inventario de hardware (Esto en caso de que el equipo vaya estar bajo su resguardo)

Capacitación dentro del uso de manual.

SEGURIDAD FISICA Y AMBIENTAL:

En la seguridad Informática se suele dejar bastante de lado la seguridad Física, ya que suceden incidentes el cual debemos estar siempre prevenidos y atentos a su pronta resolución.

En nuestro Caso para La institución SISE se plantea hace una clara tendencia al siguiente razonamiento:

1) Proteger bienes de Carácter Informáticos. (Datos Importantes, Confidenciales)

2) Las amenazas que dichos bienes pueden sufrir, proceden del medio informático. (Copia o Backup no autorizada de esos datos)

3) Por tanto, los mecanismos de protección también deben ser informáticos.(Restricciones de acceso a dichos datos)

Esto debemos relacionarlo al concepto de seguridad informático, como pueden ser accesos restringidos al Sistema, denegación de Privilegios como lectura y Modificación de Ficheros, cifrados de las comunicaciones, o protección de las redes mediante firewall.

Tanto por esto nuestro sistema queda expuesto ante amenazas que en algunos casos no dependen de su configuración, para eso no nos serviría de nada tener los mejores mecanismos de control de acceso a nuestros ordenadores, ya que tal vez un simple accidente de una persona como el encargado de mantenimiento puede hacer que el equipo acabe tirado por el suelo o que la información en el quede irrecuperable, o también si una persona trabaja con estos datos y se los lleva a su domicilio para trabajar con ellos y en el camino sufren un robo.

Page 12: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

La seguridad física de los sistemas informáticos consiste en la aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas contra las amenazas a los recursos y la información confidencial, destinados a proteger desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina.

Las medidas de seguridad física servirán para proteger nuestros equipos e información frente a usos inadecuados, accidentes, robos, atentados y cualesquiera otros agentes que atenten directamente contra la integridad física.

Amenazas de seguridad física:

Está claro que son muchos los factores que pueden acabar con el buen funcionamiento de nuestro hardware o incluso hacerlo desaparecer (un robo, un incendio). Es obvio que mantener con buena funcionamiento nuestro equipamiento resulta ventajoso. Para eso a continuación detallaremos los posibles agentes que pueden ocasionar daños a las instalaciones:

Robos, acciones vandálicas y accesos físicos no autorizados:Existe el riesgo ciertamente más preocupante de que personas ocasionen daños o sustracciones a los equipos, a la información contenida en ellos o a los datos almacenados en otros soportes. Debido a su tamaño y su valor, los ordenadores son muy apreciados por los ladrones, sobre todo por la facilidad con la que posteriormente pueden ser revendidos.

Accidentes Por ejemplo, comer, beber o fumar mientras se está trabajando con un ordenador es causa de muchos de los pequeños accidentes que se sufren.

La protección de los datosHay que considerar la importancia de la seguridad de las copias de respaldo, no sólo porque pueden constituir una forma apetecible de apropiarse de la información codiciada, sino porque la sustracción nos dejaría en posición vulnerable frente a otros desastres. Los soportes del respaldo deben protegerse en la misma medida que los equipos cuyos datos reproducen, y además deben ser

Page 13: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

almacenados en lugar diferente para evitar ser objeto de las mismas contingencias, como robos o desastres naturales.

La protección de los equipos

Es natural que lo primero que nos debamos plantear a la hora de planificar la seguridad física de una instalación consiste en determinar cuáles son las barreras que impiden o restringen el acceso físico a los equipos o su manipulación indebida: anclajes, cerraduras, blindajes, servicios de vigilancia, cámaras de vídeo o alarmas de cualquier clase. La limitación del acceso físico a los equipos debe ser planificada de distinta manera para el horario normal de trabajo y para cuando nadie puede o debe acceder a los mismos.

El plan de Seguridad Física

Para esto primero se debe pensar en cada lugar concretamente, adecuándose a sus características físicas y a los agentes circundantes que pueden suponer una amenaza para los sistemas. La segunda es que existe una cantidad muy grande de variables a considerar, por el gran número de posibles amenazas. El planteamiento de la seguridad física determina una mayor dificultad en la resolución de los problemas.Por ello es absolutamente necesario que el primer paso sea asegurar físicamente nuestras instalaciones en un plan escrito de las necesidades de seguridad física y de las medidas destinadas a cubrirlas en el futuro.

Debe incluir nuestro plan lo siguiente:

Descripción del área física en el que están localizados esos dispositivos.

Descripción del perímetro de seguridad y de sus posibles agujeros.

Descripción de las amenazas contra las que nos queremos proteger, incluyendo una estimación de su probabilidad.

Descripción de los dispositivos físicos a proteger, incluyendo ordenadores, periféricos, cables, conexiones, soportes de datos, etc.

Enumeración de los medios para mejorarlas.

Estimación del coste de las mejoras.

Page 14: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

Descripción de nuestras defensas.

Descripciones y/o ejemplos de Seguridad Física

Seguridad física en el cableado

La seguridad física del cableado es bastante sencilla aunque difícil de asegurar. La principal preocupación para un técnico de seguridad física es que el cableado pueda fallar o que pueda ser seccionado por un intruso malintencionado.

Los armarios, racks, gabinetes deben tener seguridad

En concreto se decidirá que máquinas se incluyen en los racks y lo mismo para los dispositivos de red, o gabinetes. Esto evitará que un supuesto intruso o usuario malintencionado que intente reconectar las máquinas o dispositivos del rack para realizar acciones no permitidas lo tenga más difícil.

Contraseña de Seguridad en la BIOS

Agregando password en la BIOS es una manera de proteger tanto el acceso a la Pc como el acceso al SETUP de la propia BIOS mediante una contraseña, de forma que nadie pueda manipular la computadora ni desconfigurar los valores de la BIOS. También asegurar el Case del computador para que no realicen un RESET a la BIOS.

Personal de Seguridad y Cámaras

Hacer cumplir el reglamento interior de la Institución con la función de revisar que todos los objetos que sean extraídos de la empresa cuenten con su pase de salida respectivo, con la firmas de los ejecutivos autorizados y supervisar que no se sustraiga objetos dentro del Centro.

Page 15: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

Descripción de la seguridad de la infraestructura de Red del Instituto SISE

actualmente:

Podemos describirla, según especificaciones de la siguiente manera:

Seguridad Física:

1. En cada aula los proyectores se encuentran cerrados en una protección de metal con llave y solo puede ser operado por el docente o personal de mantenimiento.

2. Los Switches de cada laboratorio no se encuentran debidamente protegidos ya que se encuentran libres encima de una repisa.

3. No todas las BIOS de los equipos cuentan con una contraseña de seguridad.

4. La sede cuenta con personal seguridad solo en las entradas principales.

5. El momento de ingreso a la sede se presenta una identificación (SISECARD) en el caso de los alumnos y su ID en el caso del personal. En el caso de personas ajenas a la institución, estos acceden presentando su DNI en la entrada.

6. Una de las políticas de seguridad de SISE, indica que el docente no tiene que dejar el laboratorio cuando se encuentra en clase, cosa que siempre no se cumple.

Seguridad Interna Lógica

Page 16: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

7. Cada usuario cuenta con un cierto nivel de administración de la PC, así como por ejemplo los usuarios de laboratorio no tiene permisos administrativos para poder instalar programas, en cambio el usuario del área de soporte sí puede.

8. Cuenta con un Firewall que cumple la función de administrar los paquetes entrantes y salientes de la red.

9. Cuenta con un proxy como delimitador de navegación. Pero este no está bien configurado ya que algunas veces se pueden acceder a páginas que supuestamente están bloqueados con el proxy.

10.Cuenta con un controlador de dominio en la cual se detallan las políticas de seguridad. Se tiene conocimiento que este no cuenta con un DC de respaldo.

Lista de Políticas de Seguridad para la Mejora del Instituto SISE:

Más Cantidad de Cámaras de Seguridad:

Se cabe recordar que el Instituto cuenta con el servicio de cámaras de seguridad y todo empleador, como estudiante está siendo grabado las 24 horas del día mientras se encuentre en la institución y se tiene la sustentación de esta, como prueba; cuando amerite una situación sospechosa o acción dentro de nuestra SEDE.

Gabinetes de Seguridad en las Salas de Laboratorio

En los laboratorios del Instituto se tiene asegurado con candados los gabinetes donde se encuentra el hardware importante de la red de la sala, se debe tener cuidado y no cometer ningún tipo de acto que afecte estos gabinetes.

Personal de Seguridad para Ambos Sexos:

Se declara que el instituto cuenta con Personal de Seguridad de Ambos Sexos, para la protección, verificaciones y revisión de todo empleador o estudiante al momento de su salida para el control de esta.

Y también con el propósito de que las Señoritas Estudiantes o empleadoras también puedan ser revisadas correctamente y no por un Hombre, sino por una persona de su mismo sexo y no tenga ningún tipo de altercado.

Page 17: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

Implementación de Software Complejo en Antivirus

Con la finalidad de mejorar la seguridad de cada PC en cada laboratorio, se implementara un software antivirus (MCAFEE) único que trabaje con la plataforma Windows 7 y server 2003 que permita:

Analizar y diagnosticar simultáneamente los programas maliciosos: gusanos, troyanos, malware, rootkits y spyware.

Políticas Nueva de Seguridad para el Uso de laboratorios del Instituto

Se implementara nuevas políticas de seguridad en el uso de los laboratorios de SISE; se mencionan a continuación:

1. Los alumnos solo pueden ingresar al laboratorio si es que no tuvieran clases programadas, podrán hacer uso de internet EXCLUSIVAMENTE para hacer sus TRABAJOS y/o alguna otra actividad que se les haya asignado. Más no para uso personal.

2. En los laboratorios se deberá mantener orden y cordura como en una sala de estudios, deberá permanecer sentado, por lo tanto, el alumno debe demostrar buen comportamiento dentro del mismo.

3. Antes de ingresar al laboratorio la persona tiene que verificar la disponibilidad según el horario publicado en la puerta de cada laboratorio, el ingreso será para clases o prácticas libres.

4. Se prohíbe totalmente el ingreso de alimentos, bebidas y el uso de celulares en el laboratorio de cómputo.

5. Los alumnos deberán acatar explícitamente las instrucciones del docente o del auxiliar de laboratorio en lo referente a la utilización del equipo así como los programas destinados al uso de las clases.

6. La instalación de software necesario en clases deberá ser solicitada formalmente por el docente en el Área de Soporte y Área de Atención al Docente (por lo menos 48 horas antes).

Page 18: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

7. Queda estrictamente prohibido cambiar la configuración del equipo y de los programas contenidos en el mismo así como instalar software que no se encuentre autorizado.

8. En caso de que el equipo presente algún tipo de falla, el usuario deberá de hacerlo presente al docente para que de aviso al personal de soporte para que vengan a verificar el problema.

9. Se prohíbe el movimiento de cualquier dispositivo de laboratorio, así como el intercambio de dispositivos.

POLÍTICAS Y ESTÁNDARES DE CONTROLES DE ACCESO

- Cada docente o Personal Administrativo es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, como su identificador de usuario y contraseña necesarios para acceder a recursos de la red con permisos y a la infraestructura tecnológica de la Institución Superior, por lo cual deberá mantenerlo de forma confidencial.

- Los estudiantes son usuarios limitados, cualquier cambio sobre los servicios a los que estos tengan acceso, será motivo de revisión y modificación de esta política, adecuándose a las nuevas especificaciones.

- Se asignará una cuenta de acceso a los sistemas de la intranet, a todo estudiante y docente de la red institucional, siempre y cuando se identifique previamente con el código dado por la institución, su ID.

- Todo usuario que tenga la sospecha de que su contraseña es conocido por otra Persona, deberá cambiarlo inmediatamente.

- Todo uso indebido del servicio de correo electrónico corporativo, será motivo de suspensión temporal de su cuenta de correo o según sea necesario la eliminación total de la cuenta dentro del sistema.

- El docente será responsable de la información que sea enviada con su cuenta de correo de la Institución

Page 19: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

Control de Privilegios de Acceso:

- Cualquier cambio en la configuración, a la cuenta brindada con privilegios administrativos será responsabilidad del usuario y docente y deberán ser Notificar al Área de Soporte, para el cambio de privilegios, previamente Autorizado por el jefe de área y vuelva a su configuración inicial.

Control de Acceso al Sistema Operativo- Al terminar una clase en el laboratorio las maquinas, evitar dejar encendido el equipo,

dejarlo de manera correcta y en estado óptimo para su nueva utilización.

MANTENIMIENTO

- El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de informática, o del personal de soporte técnico.

- Se llevará un registro global del mantenimiento efectuado sobre los equipos de laboratorios y cambios realizados desde su instalación.

CUMPLIMIENTO DE SEGURIDAD INFORMATICA Y ASPECTOS LEGALES

Cumplimiento Seguridad Informática

- La dirección del Instituto SISE emitirá y revisara el cumplimiento de las políticas y normal de seguridad informática que permiten realizar acciones correctivas y preventivas para el cuidado y mantenimiento de los equipos que forman parte de la infraestructura tecnología del Instituto

- El mal uso de los recursos informáticos detectado por la Dirección de Informática será reportado conformo a los indicado en la política de Seguridad Personal.

Cumplimiento de Aspectos Legales

- El instituto SISE deja en claro que el software comercial utilice para sus estudiantes o uso interno, deberá está legalmente registrado, en los contratos de arrendamiento de software con las respectivas licencias.

Page 20: Manual redes&comunicaciones politicas de seguridad

Manual de Políticas de SeguridadRedes y Comunicaciones

- El software comercial como el libre son propiedad exclusiva de sus programadores, la Institución Superior respeta la propiedad intelectual y se rige por el contrato de licencia de sus autores.

- Cualquier cambio en la política de utilización de software comercial o software libre, se hará documentado y en base a las disposiciones de la respectiva licencia.