POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Y LAS COMUNICACIONES ALCALDÍA DE SUPIA, CALDAS ESTRATEGIA GOBIERNO EN LÍNEA TERRITORIAL

Transcripción

1 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Y LAS COMUNICACIONES ALCALDÍA DE SUPIA, CALDAS ESTRATEGIA GOBIERNO EN LÍNEA TERRITORIAL CUMPLIMIENTO MANUAL 3.1 DE GOBIERNO EN LÍNEA DICIEMBRE DE 2014

2 TABLA DE CONTENIDO INTRODUCCIÓN OBJETIVOS ALCANCE JUSTIFICACIÓN DESARROLLO 1. POLÍTICAS DE SEGURIDAD 2. SEGURIDAD LÓGICA 2.1INVENTARIO TECNOLÓGICO 2.2 USUARIOS, CONTRASEÑAS Y PRIVILEGIOS 3. SEGURIDAD DE COMUNICACIONES 3.1 TOPOLOGÍA DE RED 3.2 CONEXIONES 3.3 CORREO ELECTRÓNICO 3.4 ANTIVIRUS FIREWALL 4. SEGURIDAD EN APLICACIONES 4.1 SISTEMAS OPERATIVOS 4.2 CONTROL DE APLICACIONES EN EQUIPOS DE COMPUTO 4.3 CONTROL DE CAMBIOS 5. SEGURIDAD FÍSICA 5.1 EQUIPAMENTO 5.2 CONTROLES DE ACCESO 5.3 DISPOSITIVOS Y PLANES DE CONTINGENCIA PARA RIESGOS QUE AFRONTAN LOS SISTEMAS DE INFORMACIÓN E INFRAESTRUCTURA TECNOLOGICA 6. SOPORTE TÉCNICO 6.1 REPORTE DE INCIDENCIA 6.2 TIEMPOS DE ATENCIÓN Y RESPUESTA DE ACUERDO AL CUADRO DE ESCALAMIENTO 7. ADMINISTRACIÓN DE DISPOSITIVOS DE RED Y COMUNICACIONES 7.1 CAPACITACIÓN DE USUARIOS 7.2 PLAN DE RESPALDO DE LA INFORMACIÓN 8. ANEXOS

3 INTRODUCCIÓN El propósito de establecer el Plan de Políticas de Seguridad de la Información y las comunicaciones para la Alcaldía de Supia - Caldas es proteger la información y los activos de la administración municipal, tratando de conseguir confidencialidad, integridad y disponibilidad de los datos; y las responsabilidades que deben asumir cada uno de los empleados mientras permanezcan en la organización. Así mismo, cumplir con los lineamientos establecidos en el Manual 3.1 del Ministerio de Tecnologías de la Información y las Comunicaciones y de Gobierno en Línea, para cumplir con los compromisos adquiridos a Diciembre de Estas políticas emergen como instrumento para concienciar a sus miembros acerca de la importancia, sensibilidad de la información y servicios críticos, de tal forma que permitan a la administración municipal cumplir con su misión. Con la elaboración de este documento y la puesta en marcha del mismo, la administración municipal estará en capacidad de soportar su plan de compras de tecnología de información y comunicaciones, pues para el desarrollo de este proyecto se hace necesaria la realización de una auditoria interna de los equipos de computo y el estado de actualización de la página web basados en el Manual 3.1 de Gobierno en Línea. La auditoria comprende todos los equipos de computo, impresoras y demás elementos tecnológicos que hagan parte del inventario de la administración municipal. Al finalizar la presente propuesta la Alcaldía de Supia Caldas estará en capacidad de tomar decisiones acertadas respecto a los planes de mejoramiento en su área de sistemas, lo que redundará en un ahorro económico y de tiempo, pues los procesos y procedimientos estarán documentados. OBJETIVO GENERAL Elaborar el Plan de Políticas de Seguridad de la Información y las Comunicaciones para la Alcaldía de Supia Caldas. OBJETIVOS ESPECÍFICOS Obtener un inventario de la infraestructura tecnológica de la Alcaldía de Supia Caldas. Establecer políticas de asignación y custodia de equipos que sean suministrados a los funcionarios de la administración municipal.

4 Establecer políticas de seguridad para el acceso a rack de comunicaciones, centro de computo y servidores propiedad de la alcaldía de Supia Caldas. Establecer políticas que garanticen la integridad física y lógica de las herramientas informáticas implementadas en la administración municipal. Establecer políticas de seguridad para el acceso a páginas web y sistemas de información externos a la administración municipal. Contar con una estrategia planificada compuesta por un conjunto de procesos y procedimientos que garanticen la disponibilidad del servicio al ciudadano en todos los niveles jerárquicos dentro de la administración municipal. Establecer políticas de control del cambio en herramientas de software y hardware propiedad de la alcaldía de Supia Caldas. Documentar los procesos y procedimientos que se realizan dentro de la administración municipal para brindar soporte técnico a funcionarios y contratistas. Agilizar la prestación del servicio de soporte técnico a funcionarios y contratistas de la administración municipal. Establecer niveles de atención y respuesta en cuanto a contingencias tecnológicas. ALCANCE El Plan de Políticas de Seguridad de la Información y las Comunicaciones aplica a todos los funcionarios de la Alcaldía de Supia Caldas, así como a los proveedores, personal externo y contratistas que desempeñen labores inherentes a la administración municipal. JUSTIFICACIÓN La Alcaldía de Supia - Caldas no cuenta con un documento en donde se definen los lineamientos para promover la planeación, el diseño e implantación de un modelo de seguridad de la información y las comunicaciones, con el fin de establecer una cultura de seguridad informática en la organización. Así mismo, la obliga a redactar sus propios procedimientos de seguridad, los cuales deben estar enmarcados por este documento. DESARROLLO Con el Plan de Políticas de Seguridad de la Información y las Comunicaciones para la Alcaldía de Supia Caldas se desarrollarán las normas, políticas, procesos y procedimientos que se deben implementar,

5 con el fin de asegurar la información que se genera o procesa dentro de la Administración municipal. Estas políticas de seguridad informática y las medidas de seguridad en ellas especificadas deben ser revisadas mínimo 1 vez por año, analizando las necesidades de cambios o adaptaciones para cubrir los riesgos existentes, así mismo se debe adoptar como política interna el seguimiento al presente plan, para establecer su debido cumplimiento. 1. POLÍTICAS DE SEGURIDAD Acceso a la Información: Los funcionarios, contratistas y proveedores de la Alcaldía de Supia Caldas solo tendrán acceso a la información necesaria para el desarrollo de sus actividades dentro de la administración municipal. Estas actividades están enmarcadas en el Manual de Funciones de la entidad. Los usuarios y contraseñas a información compartida entre 1 o más dependencias son únicamente de consulta y edición de acuerdo a las actividades asignadas y estará totalmente prohibida reproducir o modificar dicha información. La gestión de estos datos estará a cargo del área de sistemas y/o soporte técnico. La oficina de control interno deberá notificar al área de sistemas los cambios que se produzcan en el personal para proceder a desactivar y cambiar los usuarios y contraseñas a cargo de este. Seguridad de la información: Los funcionarios, contratistas y proveedores de la Alcaldía de Supia Caldas son responsables de la información que manejan y deberán cumplir con los principios de confidencialidad para proteger los datos que se almacenan, procesan o transmiten, evitar perdidas, accesos no autorizados, evitar la mala utilización de dicha información, especialmente si la información está clasificada como reservada. Seguridad para servicios informáticos: Los correos electrónicos proporcionados por la estrategia Gobierno en Línea deberán ser utilizados únicamente para el desarrollo de las actividades asignadas dentro de la alcaldía de Supia Caldas. Como estrategia de comunicación interna se recomienda la utilización del chat propuesto en este servicio, con el fin de reducir costos en llamadas telefónicas y ahorro significativo en papel con la reducción de impresiones para comunicados, memorandos, circulares, etc. Seguridad en estaciones de trabajo: Las siguientes configuraciones se deben cumplir en las estaciones de trabajo:

6 Administración de Usuarios: Establece como deben ser utilizadas las claves de ingreso a los recursos informáticos, longitud mínima de contraseñas, frecuencia con la que se deberán cambiar las contraseñas de acceso. Roles y privilegios: Las estaciones de trabajo deberán contar con roles y privilegios predefinidos de acuerdo a las necesidades de cada funcionario, estos roles se establecen con base en el Manual de funciones de la Alcaldía de Supia Caldas. Seguridad en comunicaciones: Las direcciones internas, claves de acceso a todo tipo de bases de datos, aplicaciones, equipos y sistemas de información deberán ser tratadas como documentación reservada. Todas las conexiones a redes externas en tiempo real (aplicaciones de internet) deberán pasar por el filtro del firewall y antivirus del sistema operativo. Software de la entidad: Todo software que ingrese a la entidad deberá ser adquirido bajo las normas legales vigentes, así mismo deberá tener su manual de usuario, proveedor y fecha de vencimiento de la licencia. Si es necesario se debe tener registro de las capacitaciones y soporte técnico ofrecido a la entidad. Actualización de hardware: La alcaldía de Supia Caldas deberá hacer seguimiento al cuadro de control de cambios, registro de soporte técnico y analizar la información necesaria para la toma de decisiones acertadas en la compra de equipos de computo nuevos para la entidad. Se deberá realizar estrictamente dicho procedimiento para la asignación de equipos nuevos. Escritorios limpios: Sobre los escritorios u oficinas abiertas y durante la ausencia de los funcionarios de la Alcaldía, no deben permanecer a la vista documentos en papel, dispositivos de almacenamiento como CD, USB, discos duros externos, con el fin de reducir los riesgos de acceso no autorizado y perdida de información. Practicas de uso de internet: Las siguientes son las practicas que se deben tener en cuenta para el uso de internet dentro de la administración municipal: No utilizar redes sociales, chats no oficiales o por fuera del aplicativo de gobierno en línea (correo institucional) No realizar descargas de videos, juegos, música, etc. No abrir mensajes, documentos, aplicaciones de procedencia desconocida. En caso de realizar este procedimiento por algún motivo

7 se deberá eliminar el contenido para evitar contaminación masiva de virus informático. Establecer como políticas de seguridad dentro de las estaciones de trabajo el análisis semanal del equipo de computo con la herramienta de antivirus. No utilizar la cuenta de correo electrónico suministrada por la alcaldía para uso personal. No reproducir música de páginas de internet. Todos los funcionarios, contratistas y proveedores tienen totalmente prohibido bajar o consultar información de actividades sexuales o material pornográfico. 2.1INVENTARIO TECNOLÓGICO 2. SEGURIDAD LÓGICA Deberá existir un inventario tecnológico en el cual se tenga registro del número de equipos de computo con los que cuenta la entidad. (Anexo 1) Deberá existir un registro de custodia de cada equipo de computo (Ficha diligenciada por cada funcionario al cual se le asigne computador, celular, tableta, etc.) (Anexo 2) 2.2 USUARIOS, CONTRASEÑAS Y PRIVILEGIOS Con base en el registro de custodia de equipos de computo propiedad de la alcaldía de Supia Caldas, se deberán crear usuarios y contraseñas para inicio de sesión en cada estación de trabajo. Estas claves serán administradas por el funcionario y/o contratista encargado del área de sistemas. Los privilegios que sean asignados a cada funcionario y/o contratista dependerán del tipo de funciones que desempeñe dentro de la administración municipal. Estos privilegios no limitarán ni excederán el normal desarrollo de sus actividades y su fundamento legal será el Manual de Funciones de la Alcaldía de Supia Caldas. El usuario administrador de todos los equipos de computo de la administración municipal será el encargado del área de sistemas y/o soporte técnico. Los demás perfiles y privilegios serán asignados con base en el Manual de Funciones de la Alcaldía de Supia Caldas. El encargado del área de sistemas y/o soporte técnico de la Alcaldía de Supia Caldas deberá realizar un chequeo mensual de los usuarios del sistema, comprobando que existan solo los necesarios y sus permisos sean los correctos. El área de Recursos Humanos de la

8 administración municipal deberá comunicar al administrador los cambios de personal que se produzcan. El encargado del área de sistemas o soporte técnico creará una base de datos, formulario, etc. con los usuarios y contraseñas de cada uno de los funcionarios de la administración municipal los cuales tengan bajo su custodia algún equipo de computo. Esta base de datos deberá ser encriptada y almacenada en un lugar seguro y se deberá hacer copia de seguridad por lo menos 2 veces al mes. (Anexo 3) Las contraseñas de correos electrónicos, sistemas de información, aplicativos y equipos de computo deberán tener las siguientes características: Conjunto de caracteres alfa-numéricos, con mayúsculas y minúsculas. Longitud mínima de ocho (8) caracteres. Las contraseñas no deberán contener el nombre de la Alcaldía, el nombre de usuario, ni palabras reservadas. El procedimiento para restablecer la contraseña deberá ser por medio de comunicación escrita al encargado del área de sistemas y/o soporte técnico de la alcaldía de Supia Caldas. 3.1 TOPOLOGÍA DE RED 3. SEGURIDAD DE COMUNICACIONES Deberá desarrollarse un proyecto que permita la instalación, configuración y certificación de un sistema de cableado estructurado para el edificio de la Alcaldía de Supia Caldas, del mismo fabricante que cumpla con las normas de la EIA/TIA 568 B1 y la ISO/IEC 11801, con el fin facilitar el sistema de administración y certificación de la solución a implementar. Los equipos de comunicaciones asociados a este sistema de cableado estructurado (Red Activa) deben tener un segmento de direccionamiento IP para la gestión de los mismos, totalmente independiente del esquema de direccionamiento IP de la red local y del esquema de direccionamiento IP público de la entidad. Para los distintos servicios de la red de la entidad como son: Proxys, DNS, DHCP, firewall y enrutadores, la entidad debe disponer de los segmentos de direccionamiento IP adecuados a fin de garantizar la conectividad de los mismos con un alto nivel de seguridad. Deberá existir documentación detallada sobre los diagramas topológicos de las redes, tipos de vínculos y ubicación de los puntos de red.

9 3.2 CONEXIONES La conexión a internet será suministrada únicamente para temas relacionados con el normal desarrollo de las actividades laborales enmarcadas en el Manual de Funciones de la Alcaldía Municipal. Las claves de acceso a internet inalámbrico de la administración municipal no serán proporcionadas a terceros. Para acceder a esta red se deberá solicitar por escrito autorización a la oficina de control interno, quien trasmitirá la solicitud al encargado de sistemas y/o soporte técnico dentro de la administración municipal. (Anexo 4) El acceso a internet desde los computadores de la administración municipal se deberá hacer siempre y cuando se tenga activado el Firewall del sistema operativos de la estación de trabajo en la que se accederá. Deberán tomarse las precauciones necesarias para restringir todo tipo de aplicaciones que no ayuden al cumplimiento de las funciones asignadas, tales como herramientas de chat, juegos, redes sociales, emisoras, etc. Los funcionarios de la Alcaldía de Supia Caldas nos podrán acceder a la dirección IP del equipo. Estos privilegios solo los podrá tener el administrador de sistemas que será el encargado de la oficina de sistemas y/o soporte técnico. 3.3 CORREO ELECTRÓNICO Los funcionarios de la administración municipal deberán tener una cuenta de correo electrónico institucional. Esta cuenta será suministrada por el encargado de Recursos Humanos y su entrega se realizará por medio del formato de comunicación interna de la entidad. Si no se ha suministrado alguna cuenta, la solicitud se deberá presentar a la misma oficina y/o dependencia. (Anexo 5) El estándar de usuario para los correos electrónicos será el siguiente: -Nombre del proceso misional para el que desarrolla las funciones. Ejemplo: bancodeproyectos@supia-caldas.gov.co El estándar de contraseñas del correo electrónico será el siguiente: -Conjunto de caracteres alfa-numéricos, con mayúsculas y minúsculas. -Longitud mínima de ocho (8) caracteres.

10 3.4 ANTIVIRUS FIREWALL Desarrollar un plan en el corto plazo para la compra de un paquete de antivirus licenciado para la totalidad de los equipos de Computo de la Alcaldía de Supia Caldas con caracteristicas técnicas minimas definidas como son: Anti Theft, Control Parental, Anti Phishing, Social Media Scanner, Firewall Personal, Anti Spam, Control avanzado de medios removibles, Exploit Blocker, Vulnerability Shereld, Exploración Avanzada de Memoria. Mientras se adelanta el plan de compra del paquete de antivirus se deberá instalar la versión gratuita que ofrece Microsoft Microsoft Security Essentials. Se deberá realizar un análisis mensual con el antivirus instalado en los equipos de computo propiedad de la Alcaldía de Supia Caldas, con el fin de verificar anomalías de seguridad o posibles virus informáticos. Las incidencias que se presenten deberán estar registradas en el cuadro de control de cambios. (Anexo 6) El encargado de la oficina de sistemas y/o soporte técnico deberá controlar periódicamente la configuración del firewall y los servicios de red, documentando los resultados de dichas pruebas. (Anexo 6) 4.1 SISTEMAS OPERATIVOS 4. SEGURIDAD EN APLICACIONES Es recomendable que la totalidad de los equipos de computo cuenten con un Sistema Operativo licenciado. Por tal motivo es procedente elaborar un plan de compras o actualización de licencias a paquetes de Windows 7, por la estabilidad de la versión y el soporte que ofrece la compañía. Como alternativa se puede estudiar la posibilidad de migrar al software libre. Caracteristicas de los Sistemas Operativos: Alta confiabilidad. Equilibrio en Costo Beneficio Compatibilidad con el resto de sistemas operativos instalados en los equipos de computo de la Alcaldía de Supia Caldas. Disponibilidad para la instalación de aplicaciones necesarias para el normal desarrollo de las funciones administrativas de la Alcaldía. Cumplir con los requerimientos funcionales solicitados por la administración municipal. Identifiación y autenticación de usuarios. Control de acceso para usuarios.

11 Facilidad de acceso a las herramientas ofimáticas comunes entre los usuarios recurrentes de la administración municipal. Seguridad en la transmisión y procesamiento de la información que se genere dentro y fuera de la Alcaldía de Supia Caldas. Facilidad para adaptar a nuevas tecnologías de conectivida local y externa (redes LAN, WAN, Ipv6) Fácil acceso a futuros desarrollos tecnológicos que se implementen en el transcurso de 2 años posteriores a la isntalación del equipo o sistema operativo. 4.2 CONTROL DE APLICACIONES EN EQUIPOS DE COMPUTO Se deberá especificar las aplicaciones que se instalarán de acuerdo a las necesidades de cada usuario (Actividades que realiza de acuerdo al manual de funciones) y la frecuencia con las que la utiliza, así mismo con base en los roles que tenga en el sistema sin que exceda o limite sus funciones dentro de la administración municipal. Las aplicaciones solo se actualizarán debido al reporte de mal funcionamiento o nuevo requerimiento por parte de los usuarios o del área de sistemas y/o encargado de soporte técnico de la alcaldía de Supia Caldas. Para tomar estas decisiones se deberá analizar el cuadro de Control de Cambios. (Anexo 6) Antes de realizar cambios en el sistema operativo, aplicaciones o sistemas de información se deberá hacer copia de seguridad de la información almacenada. Para este procedimiento se deberán seguir los Planes de Respaldo de Información plasmados en el presente documento. Los usuarios de los equipos de computo de la Alcaldía de Supia Caldas tienen prohibida la instalación de software. Para estos procedimientos y si se considera necesario para sus funciones dentro de la administración municipal deberá solicitar por escrito a la oficina de control interno, quien será la encargada de comunicar la incidencia al área de sistemas y/o el encargado de soporte técnico. Se establecerá como política interna de la entidad jornadas de mantenimiento preventivo y correctivo a los equipos de computo propiedad de la Alcaldía con el fin de mejorar su funcionamiento y satisfacción de los usuarios respecto al soporte técnico brindado por parte de la oficina de sistemas y/o quien realice sus veces. Estas jornadas se podrán llamar brigadas de salud informática y estarán a cargo de la oficina de sistemas y/o quien realice sus veces, así como de funcionarios y contratistas que la Alcaldía considere pertinentes.

12 4.3 CONTROL DE CAMBIOS Cada que se realice un procedimiento dentro de algún sistema operativo, aplicación o herramienta de hardware, se deberá analiza la viabilidad y la relación costo beneficio, adicionalmente se deberá documentar el procedimiento (Anexo 6) Las solicitudes de cambios de configuraciones en aplicaciones, sistemas operativos o hardware deberán ser solicitadas por escrito al área de sistemas con copia a la oficina de control interno, donde se documente el motivo. Este documento deberá contener la siguiente información: -Sistema, aplicación o hardware afectado. -Fecha de modificación -Área encargada de realizar las modificaciones -Funcionario que solicita el cambio. -Descripción general de la solicitud. El procedimiento anterior deberá estar registrado en el cuadro de control de cambios (Anexo 6) La información de control de cambios será utilizada para medir la eficiencia y eficacia del área de sistemas y/o soporte técnico dentro de la administración municipal. Cada dos meses se deberá emitir una circular interna con las recomendaciones de seguridad informática basadas en los hallazgos que se tengan durante la inspección mensual de las aplicaciones, sistemas operativos y herramientas de hardware. Los procedimientos para la realización de compras de software o herramientas de hardware serán los siguientes: 5.1 EQUIPAMENTO -Realizar análisis Costo Beneficio. -Comprobar la adaptabilidad a los sistemas operativos de los equipos de computo de la Alcaldía de Supia Caldas. -Evaluar las medidas de seguridad y el respaldo que estas aplicaciones y/o herramientas poseen. -Solicitar Manuales de uso de cada aplicación y/o herramienta de hardware. 5. SEGURIDAD FÍSICA Deberá existir una adecuada protección física y mantenimiento permanente de los equipos e instalaciones que conforman los activos de la Alcaldía de Supia Caldas. Esta protección debe constar de lo siguiente:

13 -Mantenimiento preventivo de los equipos de computo cada 3 meses. -Mantenimiento correctivo de los equipos de computo una vez sea detectado el problema. Estas tareas no son aplazables. 5.2 CONTROLES DE ACCESO Los siguientes son los protocolos y controles que se deberán seguir para garantizar la seguridad en servidores, cuartos de comunicaciones, rack y demás lugares donde se almacene información sensible de la entidad: Se deberá prohibir el acceso al centro de computo de la Alcaldía de Supia Caldas. A esta oficina solo podrá ingresar el funcionario responsable del área de sistemas y/o soporte técnico de la Administración municipal. Se deberá restringir el acceso físico a los rack de comunicaciones y/o servidores instalados en las oficinas asignadas estratégicamente para el funcionamiento de estos. Los rack de comunicaciones y/o servidores deberán permanecer cerrados bajo llave, la cual estará en poder de la oficina de control interno y del encargado de sistemas y/o soporte técnico de la Alcaldía de Supia Caldas. El personal externo a la administración municipal que necesite acceder a los rack de comunicaciones y/o servidores, de la Alcaldía, deberá solicitar por escrito a la oficina de control interno la autorización, justificando su procedimiento. Todas las modificaciones que se realicen en los rack de comunicaciones y/o servidores deberán ser documentadas en el cuadro de control de cambios (Anexo 6). El personal que preste los servicios de vigilancia y seguridad deberá realizar visitas periódicas durante el día y la noche a los rack de comunicaciones, servidores y cuarto de comunicaciones. Se deberán reportar las anomalías que se presenten; este procedimiento se deberá realizar por escrito y dirigido a la oficina de control interno y secretaría de Gobierno. Los protocolos que se deberán seguir para un correcto funcionamiento de las dependencias en temas de seguridad informática y optimización del canal de internet, así mismo para el control de acceso a equipos de computo serán los siguientes: Las unidades de CD deberán ser deshabilitadas en los equipos de computo en los que no se necesiten para el normal desarrollo de las funciones dentro de la administración municipal.

14 Se desinstalarán los parlantes en los equipos de computo que de acuerdo al manual de funciones no sean necesarios y no afecten el normal desarrollo de las tareas asignadas. Se prohibirá el traslado de equipos de computo entre oficinas, si es motivo de fuerza mayor, este procedimiento se deberá solicitar por escrito a la oficina de control interno quien trasladará la solicitud al área de sistemas o la persona encargada de soporte técnico. Los equipos portátiles propiedad de la alcaldía de Supia Caldas deberán permanecer en las instalaciones de la Alcaldía municipal, si se hace necesario el traslado o salida del edificio principal, se deberá notificar por escrito a la oficina de control interno quien trasladará la solicitud al área de sistemas o la persona encargada de soporte técnico quien registrará la incidencia en el formato de salida de equipos de computo (Anexo 7) Las impresoras instaladas en cada dependencia de la administración municipal no podrán ser cambiadas de lugar, si es motivo de fuerza mayor se deberá solicitar por escrito a la oficina de control interno quien trasladará la solicitud al área de sistemas o persona encargada de soporte técnico quien registrará la incidencia en el cuadro de control de cambios. (Anexo 6) Se debe establecer la política de control de impresiones por dependencia, para tal fin se deben realizar visitas mensuales para verificar la cantidad de hojas impresas, todo esto con el fin de optimizar recursos económicos y contribuir con el cuidado del medio ambiente. 5.3 DISPOSITIVOS Y PLANES DE CONTINGENCIA PARA RIESGOS QUE AFRONTAN LOS SISTEMAS DE INFORMACIÓN E INFRAESTRUCTURA TECNOLOGICA TIPO DE RIESGO Fuego: Destrucción de equipos y archivos Robo Común: Pérdida de equipos y archivos Vandalismo: Daño a los equipos y archivos Fallas en equipos de computo: Daño de FACTOR DE RIESGO BAJO MEDIO MEDIO MEDIO PREVENCIÓN Y MITIGACIÓN Extintores, aspersores automáticos, detectores de humo. Seguridad privada o policial, alarma, circuito cerrado de televisión, copias de seguridad. Seguridad privada o policial, alarma, circuito cerrado de televisión, copias de seguridad. Mantenimiento preventivo y correctivo

15 archivos equipos de respaldo, copias de seguridad, garantía de equipos de computo. Errores Humanos: Capacitación a Daño de archivos, MEDIO funcionarios, copias de eliminación de archivos. seguridad. Virus Informáticos: Actualizaciones de Daño en los equipos y sistema operativo, archivos ALTO actualizaciones de antivirus, políticas de Desastres Naturales: Destrucción de equipos y archivos Accesos no autorizados: Filtración no autorizada de información. Robo de Información: Difusión de la información sin autorización legal. Fraude Suplantación de usuarios: Modificación, desvío de información y activos de la entidad MEDIO BAJO BAJO BAJO seguridad informática. Copias de seguridad. Cambio de contraseñas 1 vez al mes, políticas de seguridad informática. Copias de seguridad. Cambio de contraseñas 1 vez al mes, políticas de seguridad informática. Copias de seguridad. Cambio de contraseñas 1 vez al mes, políticas de seguridad informática. Copias de seguridad. 6.1 REPORTE DE INCIDENCIA 6. SOPORTE TÉCNICO Los funcionarios de la Alcaldía de Supia Caldas podrán realizar la solicitud de soporte técnico a la oficina de sistemas de la administración municipal o quien realice estas actividades para tal fin deberán realizar los siguientes protocolos y procedimientos: Las solicitudes de soporte técnico deberán ser realizadas por medio del correo electrónico como primera opción, si la incidencia afecta la red de datos (internet) se realizará por medio de llamada telefónica y/o presencial en la oficina de Sistemas y/o quien realice sus veces.

16 Este procedimiento obligatoriamente deberá ser registrado en el Formulario de solicitudes de soporte técnico, para darle prioridad y respuesta. Todo esto con el fin de tener un registro actualizado que permita tomar decisiones oportunas y acertadas a la hora de realizar la actualización o compra de equipos tecnológicos. (Anexo 8). Las solicitudes de soporte técnico se definirán de acuerdo al siguiente cuadro de escalamiento: NIVEL PUNTO DE ESCALAMIENTO 1 Técnico o Tecnólogo contratista. 2 Ingeniero de Sistemas contratista de la Alcaldía Municipal 3 Proveedores de equipos de computo, garantía de los equipos de computo 6.2 TIEMPOS DE ATENCIÓN Y RESPUESTA DE ACUERDO AL CUADRO DE ESCALAMIENTO Nivel 1: Fallas en la red LAN. 3 horas hábiles Fallas en herramientas ofimáticas. 4 horas hábiles Fallas en periféricos. 3 horas hábiles Asesoría en manejo de herramientas ofimáticas. 3 días hábiles Asesoría en manejo de herramientas web. 3 días hábiles Fallas en impresión. 3 horas hábiles Infección por virus informáticos. 2 horas hábiles Daño de Archivos. 2 horas hábiles Cambio de usuarios, privilegios y contraseñas. 3 días hábiles Fallas en sistema operativo. 3 horas hábiles Nivel 2: Fallas en rack de comunicaciones. 1 día hábil Fallas en servidores. 1 día hábil Fallas en sistemas de información. 1 día hábil Fallas en red WAN. 1 día hábil Fallas en sistemas de respaldo. 1 día hábil Nivel 3: En este nivel se deberán hacer efectivas las garantías con los proveedores. 7 días hábiles

17 7. ADMINISTRACIÓN DE DISPOSITIVOS DE RED Y COMUNICACIONES Se deberá asegurar la correcta organización, administración y funcionamiento del área de sistemas o los encargados de soporte técnico. Esto con el fin de suplir las necesidades de control total de las redes y comunicaciones de la administración municipal. Se deberá designar como encargado del área de sistemas a un profesional con las condiciones técnicas necesarias para el manejo de recursos informáticos, las redes y las comunicaciones. Así mismo en temas relacionados con mantenimiento preventivo y correctivo de toda la infraestructura tecnológica propiedad de la alcaldía del municipio de Supia Caldas. El encargado del área de sistemas y soporte técnico de la Alcaldía de Supia Caldas deberá coordinar las tareas correspondientes de seguridad y velar por el estricto cumplimiento del Plan de Políticas de Seguridad de la Información y las Comunicaciones y proponer futuras actualizaciones de acuerdo a las necesidades que se detecten en la implementación de dichas políticas. Deberá existir una planificación formal de los procesos y procedimientos que se desarrollen en cuanto a redes y comunicaciones dentro de la administración municipal. Se deberán realizar sesiones de trabajo cada 2 meses entre el área de sistemas y/o quien realice sus veces, la oficina de control interno y un representante de cada secretaría de despacho para monitorear los informes del área de sistemas respecto a las políticas de seguridad, estado de equipos y redes de comunicaciones. Se deberá implementar un buzón de sugerencias donde los usuarios registren sus opiniones respecto a planes de mejoramiento dentro del área de sistemas de la Alcaldía de Supia Caldas. El área de sistemas deberá informar a tiempo sobre la suspensión que se realice en el servicio de redes y comunicaciones en casos de mantenimiento preventivo o correctivo. Se deberá especificar fecha y hora de suspensión así como la duración de este procedimiento. 7.1 CAPACITACIÓN DE USUARIOS Ejecutar un plan de capacitación a los funcionarios de la Alcaldía en cuanto a manejo de herramientas ofimáticas, herramientas y paquetes de internet, aplicaciones y sistemas de información utilizados en las labores diarias inherentes a las funciones dentro de la administración municipal. Con estos procedimientos se pretende disminuir el número de solicitudes de soporte técnico a la oficina de sistemas y/o quien realice sus veces; así miso se estará

18 garantizando la calidad en el servicio que prestan los funcionarios de cara al ciudadano. Los funcionarios de la administración municipal en cabeza de la alta gerencia y los demás responsables de dependencias y procesos misionales deberán adquirir un compromiso serio del cumplimiento del Plan de Políticas de Seguridad de la información y las comunicaciones, prestando mayor relevancia en los compromisos de no divulgación de la información confidencial de la Alcaldía de Supia Caldas, las claves de acceso a los equipos y sistemas de información. Los funcionarios de la administración municipal deberán solicitar al área de control interno la capacitación necesaria respecto a las herramientas tecnológicas en las que tenga falencias y generen problemas para el normal desarrollo de sus funciones. 7.2 PLAN DE RESPALDO DE LA INFORMACIÓN Los procedimientos de Respaldo de la información que se detallan en el presente Plan deberán estar documentados en el formato Registro de Copias de Seguridad (Anexo 9). Estos protocolos deberán ser aprobados por el comité GEL de la Alcaldía de Supia Caldas y refrendado por medio de resolución firmada por el representante legal de la entidad. PROCEDIMIENTO Copias de seguridad de la información, documentos alojados en los equipos de computo propiedad de la Alcaldía de Supia Caldas. Copias de seguridad de bases de datos, sistemas información de y aplicativos propiedad de la Alcaldía de Supia Caldas INFORMACIÓN A RESPALDAR Documentos PDF Documentos de Word Documentos de Excel Diapositivas Imágenes, video (multimedia) Correos electrónicos Aplicaciones web Sistemas de información Bases de datos Sistemas de información financieros RESULTADO DEL PROCEDIMIENTO Copia de seguridad en la nube. Analizar posibilidad de utilizar herramientas como Google Drive, DropBox, etc. Estas copias se deberán hacer mínimo 1 vez al año y estará a cargo del área de sistemas y/o la persona encargada de soporte técnico. Se deberá realizar las copias de seguridad 1 vez a la semana. La información deberá estar almacenada en discos duros externos, CD, cintas. Las copias de seguridad deberán contar con medidas de

19 Mantenimientos, revisiones preventivas y correctivas de equipos de computo y comunicación, extintores, alarmas y demás elementos de seguridad con los que cuente la entidad Actualizar usuarios y contraseñas de acceso a bases de datos, aplicativos y sistemas de información, equipos de computo. Equipos de computo Equipos de redes y comunicaciones Sistemas eléctricos, UPS Bases de datos Sistemas de Información Aplicativos propiedad de la Alcaldía de Supia Caldas. Equipos de computo propiedad de la alcaldía de Supia Caldas protección y seguridad física adecuada, ubicadas preferiblemente fuera del edificio central de la Alcaldía. Se deberá hacer una revisión anual de los equipos de contingencia por parte de personal externo a la administración municipal Se deberá realizar la actualización de usuarios y contraseñas cada 6 meses y este procedimiento estará a cargo del área de sistemas y/o soporte técnico de la alcaldía de Supia Caldas.

20 8. ANEXOS ANEXO 1. Ficha de Inventario tecnológico Nombre y Características del equipo Serie o Referencia Cantidad Valor Unitario Fecha de entrada # Placa Estado de Conservación Anexo 2. Formato Custodia de Equipos de Computo Nombre Funcionario Equipo Asigna Serie o Referencia Cantidad Valor Unitario Fecha de entrada # Placa Estado de Conservación Anexo 3. Formato Almacenamiento Usuarios y Contraseñas Sistema de Información, Correo Electrónico, Equipo de Computo Usuario Contraseña Fecha de Actualización

21 Anexo 4. Solicitud de Clave de WiFi Supia, de de Oficina de Control Interno L.C Asunto: Solicitud Clave WIFI Yo identificado con cedula de ciudadanía me permito solicitar acceso a la red inalámbrica de la Alcaldía de Supia Caldas para realizar funciones de durante horas, los días Cordialmente, Firma

22 Anexo 5. Entrega de Correo electrónico: Supia (Caldas), de de Señor (a): Supia (Caldas) Asunto: Creación cuenta de correo electrónico Cordial Saludo. Dando cumplimiento al Plan de Politicas de Seguridad de la Información y las Comunicaciones del municipio de Supia Caldas, aprobado por el Comité de Gobierno en Línea Territorial, me permito remitir la cuenta de correo electrónico institucional para comunicaciones internas y externas pertinentes a las funciones dentro de la Alcaldía del Municipio de Supia Caldas. Se solicita una vez ingresado por primera vez al correo electrónico realizar el cambio de calve. USUARIO: CONTRASEÑA: Quedo atento a sus inquietudes. Atentamente, Coordinación de Gobierno en Línea

23 Anexo 6. Control de Cambios # Fecha Actividad Realizada Funcionario Responsable de la Actividad Nombre de quien recibe el soporte Cargo Tipo de Equipo Estrado Funcional Anexo 7. Control de Salida de Equipos # Fecha de Salida Nombre Funcionario Dependencia Cargo Motivo de Salida Fecha Ingreso # Placa Equipo Anexo 8. Formulario Solicitud de soporte técnico # Fecha Nombre de quien realiza la solicitud Dependencia Cargo Solicitud Estado Observaciones Anexo 9. Copias de Seguridad # Fecha Sistema de Información Correo Electrónico Equipo de Computo Aplicación Dependencia Funcionario Responsable Funcionario que lo realizó Observaciones

24 Elaborado por: Juan David Salazar López Ingeniero de Sistemas y Telecomunicaciones