Políticas de seguridad para el

usuario
Borrador

I
Índice
DEFINICIÓN DE NORMAS Y POLÍTICAS DE SEGURIDAD INFORMÁTICA .............................................. 2
¿Que son las Normas de Seguridad? ................................................................................................... 2
1 POLÍTICAS DE SEGURIDAD INFORMÁTICA................................................................................... 5
1.1. OBJETIVO ................................................................................................................................. 5
2 Reglas generales para el uso de equipos de computación y equipos informáticos.................... 5
3 Confidencialidad y deber de secreto........................................................................................... 6
4 Acceso físico ................................................................................................................................ 7
5 Altas y Bajas de usuarios para personal del Ministerio............................................................... 7
6 Identificador de usuario y contraseña ........................................................................................ 8
7 Reglas de uso y políticas de seguridad del usuario para el servicio de correo electrónico ........ 9
7.1 Reglas de uso ..................................................................................................................... 10
1. Naturaleza del servicio: ..................................................................................................... 10
7.2 Contraseñas ....................................................................................................................... 12
8 Virus........................................................................................................................................... 12

1
DEFINICIÓN DE NORMAS Y POLÍTICAS DE SEGURIDAD INFORMÁTICA
¿Que son las Normas de Seguridad?
Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el
propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a
través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y
acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red
institucional.

¿Que son las Políticas de Seguridad?

Son una forma de comunicación con el personal, ya que las mismas constituyen un canal formal de
actuación, en relación con los recursos y servicios informáticos de la organización. Estas a su vez
establecen las reglas y procedimientos que regulan la forma en que una organización previene,
protege y maneja los riesgos de diferentes daños, sin importar el origen de estos.

VISIÓN
Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto
funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema de
gestión de seguridad de la información, a través de la utilización de técnicas y herramientas que
contribuyan a optimizar la administración de los recursos informáticos del Ministerio De
Comunicación.

MISIÓN
Establecer las directrices necesarias para el correcto funcionamiento de un sistema de gestión
para la seguridad de la información, enmarcando su aplicabilidad en un proceso de desarrollo
continuo y actualizable, apegado a los estándares internacionales desarrollados para tal fin.

ALCANCES Y ÁREA DE APLICACIÓN

El ámbito de aplicación del manual de normas y políticas de seguridad informática, es la
infraestructura tecnológica y entorno informático de la red institucional del Ministerio De
Comunicación. El ente que garantizará la ejecución y puesta en marcha de la normativa y políticas
de seguridad, estará bajo el cargo de la Unidad de Sistemas, siendo el responsable absoluto de la
supervisión y cumplimiento, el Gestor de Seguridad, supervisados por……………...

2
GLOSARIO DE TERMINOS
Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de una
persona natural o jurídica que por lo general son generadores de renta o fuente de beneficios, en
el ambiente informático llámese activo a los bienes de información y procesamiento, que poséela
institución. Recurso del sistema de información o relacionado con éste, necesario para que la
organización funcione correctamente y alcance los objetivos propuestos.
Administración Remota: Forma de administrar los equipos informáticos o servicios del Ministerio
De Comunicación, a través de terminales o equipos remotos, físicamente separados de la
institución.
Amenaza: Es un evento que puede desencadenar un incidente en la organización, produciendo
daños materiales o pérdidas inmateriales en sus activos.
Archivo Log: Ficheros de registro o bitácoras de sistemas, en los que se recoge o anota los pasos
que dan (lo que hace un usuario, como transcurre una conexión, horarios de conexión, terminales
o IP´s involucradas en el proceso, etc.)
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Confidencialidad: Proteger la información de su revelación no autorizada. Esto significa que la
información debe estar protegida de ser copiada por cualquiera que no esté explícitamente
autorizado por el propietario de dicha información.
Cuenta: Mecanismo de identificación de un usuario, llámese de otra manera, al método de
acreditación o autenticación del usuario mediante procesos lógicos dentro de un sistema
informático.
Desastre o Contingencia: Interrupción de la capacidad de acceso a información y procesamiento
de la misma a través de computadoras necesarias para la operación normal de un negocio
Disponibilidad: Los recursos de información sean accesibles, cuando estos sean necesitados.
Encriptación: Es el proceso mediante el cual cierta información o "texto plano “es cifrado de forma
que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación.
Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información
sensible ésta no pueda ser obtenida con facilidad por terceros.
Integridad: Proteger la información de alteraciones no autorizadas por la organización.
Impacto: Consecuencia de la materialización de una amenaza.

3
ISO: (Organización Internacional de Estándares) Institución mundialmente reconocida y acreditada
para normar en temas de estándares en una diversidad de áreas, aceptadas y legalmente
reconocidas.
IEC: (Comisión Electrotécnica Internacional) Junto a la ISO, desarrolla estándares que son
aceptados a nivel internacional.
Normativa de Seguridad ISO/IEC 17799:
(Código de buenas prácticas, para el manejo de seguridad de la información) Estándar o norma
internacional que vela por que se cumplan los requisitos mínimos de seguridad, que propicien un
nivel de seguridad aceptable y acorde a los objetivos institucionales desarrollando buenas
prácticas para la gestión de la seguridad informática.
Outsourcing: Contrato por servicios a terceros, tipo de servicio prestado por personal ajeno a la
institución.
Responsabilidad: En términos de seguridad, significa determinar que individuo en la institución, es
responsable directo de mantener seguros los activos de cómputo e información.
Servicio: Conjunto de aplicativos o programas informáticos, que apoyan la labor educativa,
académica y administrativa, sobre los procesos diarios que demanden información o comunicación
de la institución.
SGSI: Sistema de Gestión de Seguridad de la Información
Soporte Técnico: Personal designado o encargado de velar por el correcto funcionamiento de las
estaciones de trabajo, servidores, o equipo de oficina dentro de la institución.
Riesgo: Posibilidad de que se produzca un Impacto determinado en un Activo, en un Dominio o en
toda la Organización.
Terceros: Investigadores/Profesores, instituciones educativas o de investigación, proveedores de
software, que tengan convenios educativos o profesionales con la institución.
Usuario: Defínase a cualquier persona jurídica o natural, que utilice los servicios informáticos de la
red institucional y tenga una especie de vinculación académica o laboral con la institución.
Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.

4
1 POLÍTICAS DE SEGURIDAD INFORMÁTICA
1.1. OBJETIVO
Dotar de la información necesaria en el más amplio nivel de detalle a los usuarios,
empleados, directores y autoridades ejecutivas del Ministerio de Comunicación, de
las normas y mecanismos que deben cumplir y utilizar para proteger el hardware y
software de la red institucional del Ministerio De Comunicación, así como la
información que es procesada y almacenada en estos.

2 Reglas generales para el uso de equipos de computación y

equipos informáticos

Todo equipo de computación y equipo informático se considera como una herramienta de

trabajo esto implica que cualquier mal uso de los mismos será sancionado de acuerdo a las
políticas que se rige la institución Ministerio De Comunicación.

Toda información generada en Ministerio De Comunicación, archivos de datos, documentos

físicos, documentos generados por los Sistemas Informáticos de Información como también
documentos generados por cualquier programa o paquetes de ofimática, es estrictamente de
propiedad de Ministerio De Comunicación.

Cualquier información o archivos ajenos al interés laboral y productivo de Ministerio De

Comunicación no serán considerados de valía por lo cual serán eliminados.

El software instalado por defecto en todos los equipos de la institución es el que se encuentra
en la lista adjuntada a este documento. Cualquier software que no pertenezca a esta lista
debe ser instalado por el personal del Área de Sistemas Informáticos de la institución.

Ningún usuario o funcionario del área de sistemas podrá realizar la instalación de software no
autorizado o sin licencia en un equipo de computación o equipo informático, de ser así se
procederá con las sanciones respectivas.

5
 No se dará atención o solución de problemas por la Unidad de Sistemas a ningún software
que no se encuentre en la lista adjuntada a este documento o a ningún software que no se
considere crítico para el funcionamiento normal laboral del usuario o de la institución y se
procederá a la desinstalación de dicho software.

El usuario debe hacer uso de una solicitud para la instalación adicional de cualquier tipo de
paquetes adicionales requeridos para el desempeño de su trabajo, lo anterior previa
autorización del Área de Sistemas Informáticos el cual verifica los requerimientos necesarios
para la instalación del software solicitado además del completo licenciamiento del mismo si
se necesitara, una vez aprobados estos dos puntos el personal del Área de Sistemas
Informáticos procederá a la instalación del software requerido, no se realizara ninguna
instalación de software sin tener la licencia del mismo.
El área de sistemas no dará mantenimiento ni soporte a equipos o a dispositivos externos que
no sean de propiedad del Ministerio de Comunicación, de hacer este mantenimiento no se le
dará prioridad ni se responsabilizara por el resultado del mismo.

El único correo electrónico permitido a ser usado en el Ministerio será el correo institucional.
Queda totalmente prohibida la conexión de dispositivos a los equipos del Ministerio para la
conexión a cualquier tipo de red externa/externo que no pertenezca al Ministerio, de ser así
se procederá con las sanciones respectivas.

3 Confidencialidad y deber de secreto

Los usuarios de Ministerio De Comunicación deberán guardar, en todo caso, la máxima

reserva y no divulgar ni utilizar directamente ni a través de terceras personas o empresas, los
datos, documentos, metodologías, claves, análisis, programas y demás información a la que
tengan acceso durante su relación con el Ministerio De Comunicación. Esta obligación
continuará vigente tras la extinción del contrato de trabajo.

En el caso de que, por motivos directamente relacionados con el puesto de trabajo, un

empleado de una empresa proveedora de servicios entre en posesión de información
confidencial contenida en cualquier tipo de soporte, deberá entenderse que dicha posesión

6
 se produce por motivos profesionales autorizados, y es estrictamente temporal, con
obligación de secreto y sin que por ello se le confiera derecho alguno de posesión, titularidad
o copia sobre dicha información.

Asimismo, deberán ser devueltos la documentación y/o soportes mencionados, después de la

finalización de las tareas que han originado dicha posesión.

4 Acceso físico

Las áreas sensibles del Ministerio De Comunicación deben ser protegidas con los mecanismos
adecuados. Solamente el personal autorizado tendrá acceso a las áreas sensibles. Se definirán
normativas y procedimientos para controlar el acceso del personal interno y externo. Todo el
material confidencial se almacenará con las debidas medidas de seguridad, incluso cuando se
localicen en áreas seguras y estando disponibles solamente para el personal autorizado.

Para que algún usuario externo al Ministerio utilice los recursos informáticos ya sea el uso de
conexión Wi-Fi o por cable UTP, así como los servicios de internet, se deberá realizar una
solicitud de estos servicios al responsable del área de sistemas con 24 a 48 horas de
anticipación.

5 Altas y Bajas de usuarios para personal del Ministerio.

Se realizara una petición de alta de usuario al responsable del área de sistemas, previa
coordinación con RR.HH.

La petición para dar de alta a un usuario se debe realizar de 48 a 24 horas antes de su

incorporación a la institución, esto se debe a que se tiene que generar el usuario y
contraseñas para el acceso a los sistemas, configurar los accesos al correo electrónico
institucional, realizar la instalación del software base y requerido en el equipo que se asignara
al nuevo usuario, configurar el acceso a los servicios de internet que podría utilizar, etc.

7
 La baja del usuario será automática al finalizar el día laboral de la fecha del fin de contrato
del usuario. El usuario deberá dejar un Backup en medio digital de toda la documentación
generada y correos electrónicos recibidos al área de sistemas y a la unidad de recursos
humanos antes de concluir sus obligaciones con el Ministerio.

6 Identificador de usuario y contraseña

Todos los usuarios con acceso a un sistema de información y a su equipo de computación,

dispondrán de una única autorización de acceso compuesta por identificador de usuario y
mecanismo de autenticación basado en contraseña. Por lo cual no está permitido el uso de un
mismo por varios usuarios.

Todos los usuarios de servicios de información son responsables por el identificador de

usuario y contraseña que recibe para el uso y acceso de los recursos.

Los usuarios son responsables de todas las actividades realizadas con su identificador de
usuario. Los usuarios no deben divulgar ni permitir que otros utilicen sus identificadores de
usuario, al igual que se tiene prohibido utilizar el identificador de usuario de otros usuarios.
Los usuarios deberán mantener sus equipos de cómputo con controles de acceso como
contraseñas y protectores de pantalla aprobados por el Área de Sistemas Informáticos, el
usuario está obligado a bloquear su equipo si abandona su estación de trabajo por más de 3
minutos, usuario que no bloquee su equipo se le dará un primer aviso, a la tercera infracción
de esta regla se procederá con las sanciones respectivas, según normas de la institución.

Cuando un usuario olvide, bloquee o extravíe su contraseña, deberá levantar un reporte al

Área de Sistemas Informáticos para que se le proporcione una nueva contraseña y una vez
que lo reciba deberá cambiarlo en el momento en que acceda nuevamente a la
infraestructura tecnológica, este proceso se realizara por dos ocasiones, a la tercera el
usuario deberá realizar un informe a su inmediato superior quien deberá realizar una solicitud
al área de sistemas, requiriendo se habilite nuevamente el acceso a la infraestructura
tecnológica.

8
 Está prohibido que los contraseña se encuentren de forma legible en cualquier medio
impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlos.

Sin importar las circunstancias, las contraseñas nunca se deben compartir o revelar. Hacer
esto responsabiliza al usuario que prestó su contraseña de todas las acciones que se realicen
con el mismo.

Los usuarios tendrán acceso autorizado exclusivamente a aquellos datos y recursos que
precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por cada
Responsable de Autorización de Accesos.
Todo usuario que tenga la sospecha de que su contraseña es conocida por otra persona,
deberá cambiarlo inmediatamente.

Los usuarios no deben almacenar las contraseñas en ningún programa o sistema que
proporcione esta facilidad.

Se definirá una longitud mínima de las contraseñas y estarán constituidas por una
combinación de caracteres alfabéticos y numéricos. Los identificadores temporales se
configurarán para un corto período de tiempo. Una vez expirado dicho período, se
desactivarán de los sistemas informáticos.

Ningún usuario recibirá un identificador de acceso a recursos informáticos o aplicaciones

hasta que no acepte formalmente el documento de política de seguridad vigente.

7 Reglas de uso y políticas de seguridad del usuario para el servicio

de correo electrónico

Se recomienda tener en cuenta las reglas y restricciones, así como los derechos de los
usuarios para que puedan hacer un mejor uso del servicio, el cual beneficiará tanto a la
institución como al usuario.

9
7.1 Reglas de uso

1. Naturaleza del servicio: El servicio de correo de Ministerio De Comunicación está

dirigido hacia el personal operativo y administrativo de la institución, es de USO
ESTRICTAMENTE LABORAL. El servicio está basado en permitir al usuario leer y obtener
sus mensajes de correo desde cualquier punto en Internet.

No se deberá hacer uso de este para fines políticos, comerciales o de otra índole que no
sean los expresados arriba.
Este servicio no deberá usarse para enviar SPAM, mensajes no solicitados, mensajes de
carácter personal ni tampoco para enviar material obsceno, ofensivo e ilegal.

El servicio no puede ni debe ser re-vendido o alquilado a terceros, esta falta acarrea la
suspensión total del acceso a los servicios y la aplicación de los las normas y políticas
empresariales de la institución.

2. Restricciones:

1. Mensajes: El servicio de correo permite enviar archivos anexados (attachments)

de hasta 10 MB usando un cliente de correo (Outlook) y de hasta 10 MB usando
la interface Web en: http://mail.comunicacion. gob.bo/
2. Mensajes Enviados, Eliminados y Buzones: Se les informa a los usuarios que el
servicio de correo permitirá almacenar mensajes eliminados en la carpeta Trash
(papelera de reciclaje) hasta 20 MB, es decir, cada 31 días se eliminarán
automáticamente todos los mensajes en la papelera de reciclaje de los usuarios;
para lo cual se les pide que tomen las medidas del caso.
Los mensajes enviados son guardados automáticamente en el servidor, pero
serán eliminados cada 31 días por lo que se pide a los usuarios tomar las
medidas pertinentes.
3. Cuota: Los buzones tienen una cuota (espacio) máxima de hasta 100 MB por
usuario, por lo tanto, el usuario deberá eliminar periódicamente los mensajes
leídos de modo tal que elimine información que no sea concerniente al ámbito

10
 de trabajo. El administrador le enviará un mensaje de advertencia cada vez que
esté próximo a desbordar la cuota impuesta. Si el usuario hace caso omiso al
mensaje de advertencia, el administrador procederá a vaciar la cuenta del
usuario hasta liberar el espacio excedente comenzando por los mensajes más
antiguos. El usuario deberá pedir que se realice una copia de seguridad de sus
correos con 24 a 48 horas de anticipación; el área de sistemas no se hará
responsable por perdida de correos electrónicos debido a cualquier factor que
produzca esta pérdida del mismo si el usuario no pide su copia de seguridad
debido a que el correo electrónico es un medio de distribución digital.
4. Cadenas y Múltiples Usuarios: Está PROHIBIDO el fomentar el envío de cadenas
de mensajes a múltiples usuarios, ya sea enviando o reenviando esta clase de
mensajes.
Se puede enviar mensajes a múltiples usuarios siempre que sean anuncios
institucionales como ser instructivos notas o circulares o razones
completamente laborales. El incumplimiento de esta norma, tendrá como
consecuencia un mensaje de advertencia y la sanción al usuario de acuerdo a las
normas institucionales.

3. Privacidad: El Administrador del Servicio de Correo Ministerio De Comunicación podrá

interceptar, monitorear o eliminar cualquier mensaje de correo de cualquier usuario en
los siguientes casos:

o El usuario haya incurrido en actos ilegales

o Envío de información confidencial de la empresa hacia personas o instituciones.
o Envío de correo obsceno u ofensivo.
o El mensaje comprometa el normal funcionamiento del servicio.
o El mensaje comprometa el normal funcionamiento de la institución.
o El mensaje contenga software ilegal o sin licencia.

El administrador del sistema es la única persona que eventualmente podría tener acceso a
los mensajes de los usuarios.

11
7.2 Contraseñas

La contraseña es secreta y no debe ser confiada a ninguna otra persona, no compartirla de

modo que algún extraño pueda usarla para enviar mensajes con otros propósitos.

Ministerio De Comunicación no se hace responsable por el uso que el usuario final le dé a

esta cuenta de correo electrónico sin embargo mantendrá un control permanente sobre la
información que se recibe y sale por este medio.

8 Virus

No descargar archivos .rar .zip .ace .exe, .vbs, .avi, protectores de pantalla, etc., pues aunque
es probable que no sean virus, pueden ser programas dañinos. En estos casos, se les
recomienda borrar inmediatamente el mensaje. En caso de recibir un mensaje bajo sospecha
de virus, contacte a Soporte Técnico.

Reglas de uso del servicio de internet y servicios de red:

Deberán cumplirse todas las normas específicas dictadas por el Área de Sistemas
Informáticos. Dichas normas se comunicarán por los diferentes medios disponibles, e incluso
directamente a los usuarios.

Está prohibido transmitir cualquier material en violación de cualquier regulación de la

institución. Esto incluye: derechos de autor, amenazas o material obsceno, o información
protegida.

No es aceptable el uso para actividades comerciales. Está prohibido el uso para propaganda
de productos o propaganda política.

El usuario se compromete a aceptar las condiciones estipuladas en este reglamento en las

que se señala el uso de los servicios con fines puramente laborales y de investigación, lo que
excluye cualquier uso comercial de la red, así como prácticas desleales (hacking, cracking) o
cualquier otra actividad que voluntariamente tienda a afectar a otros usuarios de la red.

12
En particular quedan expresamente prohibidas las siguientes acciones:

 Tratar de causar daño a los sistemas o equipos conectados a la red de la institución y a

otras redes a las que se proporcione acceso.
 Diseminar "virus", "gusanos", “troyanos” y otros tipos de programas dañinos para los
sistemas de proceso de la información.
 Utilizar los medios de la red con fines propagandísticos o comerciales.
 Congestionar intencionalmente enlaces de comunicaciones o sistemas informáticos
mediante el envío de información o programas concebidos para tal fin.
 Congestionar enlaces de comunicaciones o sistemas informáticos mediante la
transferencia o ejecución de archivos o programas que no son de uso propio en el
ambiente laboral.
 Intentar o realizar accesos a cuentas de usuario que no sean las propias (utilizando
cualquier protocolo: telnet, ftp, etc., aunque no se consiga).
 Exportar los archivos de contraseñas o realizar cualquier manipulación sobre los mismos,
en concreto intentar averiguar las contraseñas de los usuarios.
 Afectar o paralizar algún servicio ofrecido por la Institución.
 Modificación de archivos sin consentimiento que no sean propiedad del usuario aunque
tengan permiso de escritura.
 Acceder, analizar o exportar archivos que sean accesibles a todo el mundo pero que no
sean del usuario salvo que se encuentre en una localización que admita su uso público.

Todas las normas y recomendaciones anteriores son válidas independientemente de cuál

sea el tipo o medio de acceso a los servicios de la red de datos de la institución, tanto
desde adentro o como accesos remotos.

Los programas comerciales disponibles en la institución pueden ser utilizados únicamente

en las computadoras para las que se tiene licencia. Está prohibido efectuar copias no
autorizadas de dichos programas.

13
En caso de infracción de alguna de las normas anteriores, u otro tipo de abuso de los
recursos de la red de la Institución que causen perjuicio a otros usuarios o a la seguridad o
integridad de los sistemas informáticos, el Área de Sistemas Informáticos pondrá en
conocimiento a los directivos de la institución del hecho para adoptar las medidas
disciplinarias o administrativas adecuadas.

Se entiende tácitamente aceptadas las REGLAS DE USO y las POLITICAS DE SEGURIDAD al

recibir este mensaje.

Cualquier reclamo, consulta o sugerencia, por favor hacerla llegar al administrador del
sistema o al Área de Sistemas Informáticos.

14