Documente Academic
Documente Profesional
Documente Cultură
usuario
Borrador
I
Índice
DEFINICIÓN DE NORMAS Y POLÍTICAS DE SEGURIDAD INFORMÁTICA .............................................. 2
¿Que son las Normas de Seguridad? ................................................................................................... 2
1 POLÍTICAS DE SEGURIDAD INFORMÁTICA................................................................................... 5
1.1. OBJETIVO ................................................................................................................................. 5
2 Reglas generales para el uso de equipos de computación y equipos informáticos.................... 5
3 Confidencialidad y deber de secreto........................................................................................... 6
4 Acceso físico ................................................................................................................................ 7
5 Altas y Bajas de usuarios para personal del Ministerio............................................................... 7
6 Identificador de usuario y contraseña ........................................................................................ 8
7 Reglas de uso y políticas de seguridad del usuario para el servicio de correo electrónico ........ 9
7.1 Reglas de uso ..................................................................................................................... 10
1. Naturaleza del servicio: ..................................................................................................... 10
7.2 Contraseñas ....................................................................................................................... 12
8 Virus........................................................................................................................................... 12
1
DEFINICIÓN DE NORMAS Y POLÍTICAS DE SEGURIDAD INFORMÁTICA
¿Que son las Normas de Seguridad?
Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el
propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a
través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y
acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red
institucional.
VISIÓN
Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto
funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema de
gestión de seguridad de la información, a través de la utilización de técnicas y herramientas que
contribuyan a optimizar la administración de los recursos informáticos del Ministerio De
Comunicación.
MISIÓN
Establecer las directrices necesarias para el correcto funcionamiento de un sistema de gestión
para la seguridad de la información, enmarcando su aplicabilidad en un proceso de desarrollo
continuo y actualizable, apegado a los estándares internacionales desarrollados para tal fin.
2
GLOSARIO DE TERMINOS
Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de una
persona natural o jurídica que por lo general son generadores de renta o fuente de beneficios, en
el ambiente informático llámese activo a los bienes de información y procesamiento, que poséela
institución. Recurso del sistema de información o relacionado con éste, necesario para que la
organización funcione correctamente y alcance los objetivos propuestos.
Administración Remota: Forma de administrar los equipos informáticos o servicios del Ministerio
De Comunicación, a través de terminales o equipos remotos, físicamente separados de la
institución.
Amenaza: Es un evento que puede desencadenar un incidente en la organización, produciendo
daños materiales o pérdidas inmateriales en sus activos.
Archivo Log: Ficheros de registro o bitácoras de sistemas, en los que se recoge o anota los pasos
que dan (lo que hace un usuario, como transcurre una conexión, horarios de conexión, terminales
o IP´s involucradas en el proceso, etc.)
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Confidencialidad: Proteger la información de su revelación no autorizada. Esto significa que la
información debe estar protegida de ser copiada por cualquiera que no esté explícitamente
autorizado por el propietario de dicha información.
Cuenta: Mecanismo de identificación de un usuario, llámese de otra manera, al método de
acreditación o autenticación del usuario mediante procesos lógicos dentro de un sistema
informático.
Desastre o Contingencia: Interrupción de la capacidad de acceso a información y procesamiento
de la misma a través de computadoras necesarias para la operación normal de un negocio
Disponibilidad: Los recursos de información sean accesibles, cuando estos sean necesitados.
Encriptación: Es el proceso mediante el cual cierta información o "texto plano “es cifrado de forma
que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación.
Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información
sensible ésta no pueda ser obtenida con facilidad por terceros.
Integridad: Proteger la información de alteraciones no autorizadas por la organización.
Impacto: Consecuencia de la materialización de una amenaza.
3
ISO: (Organización Internacional de Estándares) Institución mundialmente reconocida y acreditada
para normar en temas de estándares en una diversidad de áreas, aceptadas y legalmente
reconocidas.
IEC: (Comisión Electrotécnica Internacional) Junto a la ISO, desarrolla estándares que son
aceptados a nivel internacional.
Normativa de Seguridad ISO/IEC 17799:
(Código de buenas prácticas, para el manejo de seguridad de la información) Estándar o norma
internacional que vela por que se cumplan los requisitos mínimos de seguridad, que propicien un
nivel de seguridad aceptable y acorde a los objetivos institucionales desarrollando buenas
prácticas para la gestión de la seguridad informática.
Outsourcing: Contrato por servicios a terceros, tipo de servicio prestado por personal ajeno a la
institución.
Responsabilidad: En términos de seguridad, significa determinar que individuo en la institución, es
responsable directo de mantener seguros los activos de cómputo e información.
Servicio: Conjunto de aplicativos o programas informáticos, que apoyan la labor educativa,
académica y administrativa, sobre los procesos diarios que demanden información o comunicación
de la institución.
SGSI: Sistema de Gestión de Seguridad de la Información
Soporte Técnico: Personal designado o encargado de velar por el correcto funcionamiento de las
estaciones de trabajo, servidores, o equipo de oficina dentro de la institución.
Riesgo: Posibilidad de que se produzca un Impacto determinado en un Activo, en un Dominio o en
toda la Organización.
Terceros: Investigadores/Profesores, instituciones educativas o de investigación, proveedores de
software, que tengan convenios educativos o profesionales con la institución.
Usuario: Defínase a cualquier persona jurídica o natural, que utilice los servicios informáticos de la
red institucional y tenga una especie de vinculación académica o laboral con la institución.
Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.
4
1 POLÍTICAS DE SEGURIDAD INFORMÁTICA
1.1. OBJETIVO
Dotar de la información necesaria en el más amplio nivel de detalle a los usuarios,
empleados, directores y autoridades ejecutivas del Ministerio de Comunicación, de
las normas y mecanismos que deben cumplir y utilizar para proteger el hardware y
software de la red institucional del Ministerio De Comunicación, así como la
información que es procesada y almacenada en estos.
El software instalado por defecto en todos los equipos de la institución es el que se encuentra
en la lista adjuntada a este documento. Cualquier software que no pertenezca a esta lista
debe ser instalado por el personal del Área de Sistemas Informáticos de la institución.
Ningún usuario o funcionario del área de sistemas podrá realizar la instalación de software no
autorizado o sin licencia en un equipo de computación o equipo informático, de ser así se
procederá con las sanciones respectivas.
5
No se dará atención o solución de problemas por la Unidad de Sistemas a ningún software
que no se encuentre en la lista adjuntada a este documento o a ningún software que no se
considere crítico para el funcionamiento normal laboral del usuario o de la institución y se
procederá a la desinstalación de dicho software.
El usuario debe hacer uso de una solicitud para la instalación adicional de cualquier tipo de
paquetes adicionales requeridos para el desempeño de su trabajo, lo anterior previa
autorización del Área de Sistemas Informáticos el cual verifica los requerimientos necesarios
para la instalación del software solicitado además del completo licenciamiento del mismo si
se necesitara, una vez aprobados estos dos puntos el personal del Área de Sistemas
Informáticos procederá a la instalación del software requerido, no se realizara ninguna
instalación de software sin tener la licencia del mismo.
El área de sistemas no dará mantenimiento ni soporte a equipos o a dispositivos externos que
no sean de propiedad del Ministerio de Comunicación, de hacer este mantenimiento no se le
dará prioridad ni se responsabilizara por el resultado del mismo.
El único correo electrónico permitido a ser usado en el Ministerio será el correo institucional.
Queda totalmente prohibida la conexión de dispositivos a los equipos del Ministerio para la
conexión a cualquier tipo de red externa/externo que no pertenezca al Ministerio, de ser así
se procederá con las sanciones respectivas.
6
se produce por motivos profesionales autorizados, y es estrictamente temporal, con
obligación de secreto y sin que por ello se le confiera derecho alguno de posesión, titularidad
o copia sobre dicha información.
4 Acceso físico
Las áreas sensibles del Ministerio De Comunicación deben ser protegidas con los mecanismos
adecuados. Solamente el personal autorizado tendrá acceso a las áreas sensibles. Se definirán
normativas y procedimientos para controlar el acceso del personal interno y externo. Todo el
material confidencial se almacenará con las debidas medidas de seguridad, incluso cuando se
localicen en áreas seguras y estando disponibles solamente para el personal autorizado.
Para que algún usuario externo al Ministerio utilice los recursos informáticos ya sea el uso de
conexión Wi-Fi o por cable UTP, así como los servicios de internet, se deberá realizar una
solicitud de estos servicios al responsable del área de sistemas con 24 a 48 horas de
anticipación.
Se realizara una petición de alta de usuario al responsable del área de sistemas, previa
coordinación con RR.HH.
7
La baja del usuario será automática al finalizar el día laboral de la fecha del fin de contrato
del usuario. El usuario deberá dejar un Backup en medio digital de toda la documentación
generada y correos electrónicos recibidos al área de sistemas y a la unidad de recursos
humanos antes de concluir sus obligaciones con el Ministerio.
Los usuarios son responsables de todas las actividades realizadas con su identificador de
usuario. Los usuarios no deben divulgar ni permitir que otros utilicen sus identificadores de
usuario, al igual que se tiene prohibido utilizar el identificador de usuario de otros usuarios.
Los usuarios deberán mantener sus equipos de cómputo con controles de acceso como
contraseñas y protectores de pantalla aprobados por el Área de Sistemas Informáticos, el
usuario está obligado a bloquear su equipo si abandona su estación de trabajo por más de 3
minutos, usuario que no bloquee su equipo se le dará un primer aviso, a la tercera infracción
de esta regla se procederá con las sanciones respectivas, según normas de la institución.
8
Está prohibido que los contraseña se encuentren de forma legible en cualquier medio
impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlos.
Sin importar las circunstancias, las contraseñas nunca se deben compartir o revelar. Hacer
esto responsabiliza al usuario que prestó su contraseña de todas las acciones que se realicen
con el mismo.
Los usuarios tendrán acceso autorizado exclusivamente a aquellos datos y recursos que
precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por cada
Responsable de Autorización de Accesos.
Todo usuario que tenga la sospecha de que su contraseña es conocida por otra persona,
deberá cambiarlo inmediatamente.
Los usuarios no deben almacenar las contraseñas en ningún programa o sistema que
proporcione esta facilidad.
Se definirá una longitud mínima de las contraseñas y estarán constituidas por una
combinación de caracteres alfabéticos y numéricos. Los identificadores temporales se
configurarán para un corto período de tiempo. Una vez expirado dicho período, se
desactivarán de los sistemas informáticos.
Se recomienda tener en cuenta las reglas y restricciones, así como los derechos de los
usuarios para que puedan hacer un mejor uso del servicio, el cual beneficiará tanto a la
institución como al usuario.
9
7.1 Reglas de uso
No se deberá hacer uso de este para fines políticos, comerciales o de otra índole que no
sean los expresados arriba.
Este servicio no deberá usarse para enviar SPAM, mensajes no solicitados, mensajes de
carácter personal ni tampoco para enviar material obsceno, ofensivo e ilegal.
El servicio no puede ni debe ser re-vendido o alquilado a terceros, esta falta acarrea la
suspensión total del acceso a los servicios y la aplicación de los las normas y políticas
empresariales de la institución.
2. Restricciones:
10
de trabajo. El administrador le enviará un mensaje de advertencia cada vez que
esté próximo a desbordar la cuota impuesta. Si el usuario hace caso omiso al
mensaje de advertencia, el administrador procederá a vaciar la cuenta del
usuario hasta liberar el espacio excedente comenzando por los mensajes más
antiguos. El usuario deberá pedir que se realice una copia de seguridad de sus
correos con 24 a 48 horas de anticipación; el área de sistemas no se hará
responsable por perdida de correos electrónicos debido a cualquier factor que
produzca esta pérdida del mismo si el usuario no pide su copia de seguridad
debido a que el correo electrónico es un medio de distribución digital.
4. Cadenas y Múltiples Usuarios: Está PROHIBIDO el fomentar el envío de cadenas
de mensajes a múltiples usuarios, ya sea enviando o reenviando esta clase de
mensajes.
Se puede enviar mensajes a múltiples usuarios siempre que sean anuncios
institucionales como ser instructivos notas o circulares o razones
completamente laborales. El incumplimiento de esta norma, tendrá como
consecuencia un mensaje de advertencia y la sanción al usuario de acuerdo a las
normas institucionales.
El administrador del sistema es la única persona que eventualmente podría tener acceso a
los mensajes de los usuarios.
11
7.2 Contraseñas
8 Virus
No descargar archivos .rar .zip .ace .exe, .vbs, .avi, protectores de pantalla, etc., pues aunque
es probable que no sean virus, pueden ser programas dañinos. En estos casos, se les
recomienda borrar inmediatamente el mensaje. En caso de recibir un mensaje bajo sospecha
de virus, contacte a Soporte Técnico.
Deberán cumplirse todas las normas específicas dictadas por el Área de Sistemas
Informáticos. Dichas normas se comunicarán por los diferentes medios disponibles, e incluso
directamente a los usuarios.
No es aceptable el uso para actividades comerciales. Está prohibido el uso para propaganda
de productos o propaganda política.
12
En particular quedan expresamente prohibidas las siguientes acciones:
13
En caso de infracción de alguna de las normas anteriores, u otro tipo de abuso de los
recursos de la red de la Institución que causen perjuicio a otros usuarios o a la seguridad o
integridad de los sistemas informáticos, el Área de Sistemas Informáticos pondrá en
conocimiento a los directivos de la institución del hecho para adoptar las medidas
disciplinarias o administrativas adecuadas.
Cualquier reclamo, consulta o sugerencia, por favor hacerla llegar al administrador del
sistema o al Área de Sistemas Informáticos.
14