POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

Transcripción

1 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDÍA DE SAN LUIS DE PALENQUE 2014

2 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración general que representa la posición de la administración municipal de San Luis de Palenque con respecto a la protección de los activos de información (los funcionarios, la información, los procesos, las tecnologías de información incluido el hardware y el software), a la implementación del Sistema de Gestión de Seguridad de la Información y al apoyo, generación y publicación de sus políticas, procedimientos e instructivos. OBJETIVO ESTRATÉGICO La Alcaldía de San Luis de Palenque, para el cumplimiento de su misión, visión, objetivo estratégico y apegado a sus valores corporativos, establece la función de Seguridad de la Información en la Entidad, con el objetivo de: Minimizar el riesgo en las funciones más importantes de la entidad. Cumplir con los principios de seguridad de la información. Cumplir con los principios de la función administrativa. Mantener la confianza de sus clientes, socios y empleados. Apoyar la innovación tecnológica. Implementar el sistema de gestión de seguridad de la información. Proteger los activos tecnológicos. Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información. Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes y clientes de la Alcaldía de San Luis de Palenque. Garantizar la continuidad del negocio frente a incidentes. ALCANCE Esta política aplica a toda la entidad, sus funcionarios, terceros, aprendices, practicantes, proveedores de la Alcaldía de San Luis de Palenque y la ciudadanía en general.

3 NIVEL DE CUMPLIMIENTO Todas las personas cubiertas por el alcance y aplicabilidad se espera que se adhieran en un 100% de la política POLÍTICAS GENERALES DE SEGURIDAD DEL SGSI A continuación se establecen las 12 políticas de seguridad que soportan el SGSI de la Alcaldía de San Luis de Palenque: La Alcaldía de San Luis de Palenque ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades del negocio, y a los requerimientos regulatorios. Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o terceros. La Alcaldía de San Luis de Palenque protegerá la información generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros (ej.: proveedores o clientes), o como resultado de un servicio interno en outsourcing. La Alcaldía de San Luis de Palenque protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia. La Alcaldía de San Luis de Palenque protegerá su información de las amenazas originadas por parte del personal. La Alcaldía de San Luis de Palenque protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos. La Alcaldía de San Luis de Palenque controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.

4 La Alcaldía de San Luis de Palenque implementará control de acceso a la información, sistemas y recursos de red. La Alcaldía de San Luis de Palenque garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información. La Alcaldía de San Luis de Palenque garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad. La Alcaldía de San Luis de Palenque garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basado en el impacto que pueden generar los eventos. La Alcaldía de San Luis de Palenque garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas. Seguridad en los Equipos SEGURIDAD FISICA Y DEL ENTORNO Los equipos servidores de la Entidad que contengan información y servicios institucionales deben ser mantenidos en un ambiente seguro y protegido por los menos con: Controles de acceso y seguridad física. Sistemas de extinción de conflagraciones. Bajo riesgo de inundación. Sistema de respaldo por fuentes de potencia ininterrumpida (UPS). Todos los equipos de cómputo a cargo de los funcionarios de la entidad deben estar protegidos a través de sistemas de UPS, y deben tener jornadas de mantenimiento preventivo y correctivo, actividad que se encuentra consignada en el procedimiento Mantenimiento del Hardware, Software y la Red interna. Retiro de los Equipos de cómputo de la Entidad Los computadores personales, portátiles, y cualquier activo de tecnología de información, podrán salir de las instalaciones de la Alcaldía únicamente con la autorización de salida del área de Almacén Municipal.

5 Los usuarios no deben mover o reubicar los equipos de cómputo o de telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorización de la oficina de Sistemas, en caso de requerir este servicio deberá solicitarlo. ADMINISTRACION DE LAS COMUNICACIONES Y OPERACIONES Protección contra software malicioso o virus Como control mínimo, los servidores y equipos de cómputo deben estar protegidos por software antivirus con capacidad de actualización automática en cuanto a firmas de virus. En los mantenimientos preventivos programados por la oficina de sistemas, se tendrá en cuenta el estado de los antivirus instalados, su actualización y ejecución. No acceda a enlaces de internet sospechosos. No abra archivos adjuntos sospechosos o de fuentes no reconocidas. Cualquier situación de virus en los equipos que los funcionarios detecten, debe ser informada a la oficina de sistemas de inmediato, para que esta realice el diagnóstico y ejecución de soluciones correspondientes. Esta solicitud deberá realizarse a través de los medios electrónicos implementados al interior de la entidad. Copias de Seguridad Toda la información institucional generada a través de los sistemas de información y localmente en los equipos de cómputo de los funcionarios, que sean de interés a los procesos de la administración, tiene carácter de reserva y confidencialidad, por lo que no podrá ser copiada, transmitida o utilizada por terceros sin la autorización de la oficina de sistemas. La información debe ser resguardadas a través de copias de seguridad máximo cada mes, durante los primeros 5 días. Se entiende que los usuarios que no realicen copia de seguridad durante el tiempo establecido, no requieren realizarla, dándose un 100% de cumplimiento en las copias efectuadas.

6 Las copias de seguridad del sistema de información administrativo y financiero serán alojadas en el servidor dispuesto y en la nube. Las copias de seguridad resultado de los funcionarios, serán almacenadas en dispositivo extraíble. Administración de configuraciones de red Todo equipo de TI que se requiera instalar en la red, deberá ser revisado y configurado por la oficina de sistemas, cualquier equipo que no esté autorizado para funcionar en la red interna será desconectado. Periódicamente, y de acuerdo a solicitud de los funcionarios usuarios de equipos de cómputo, se deberán revisar los cables de red o pachcord y realizar los ajustes y cambios necesarios para el normal funcionamiento de la red. Políticas de uso de la Red: Se implementó un espacio en la red para compartir la información entre los usuarios de la red, por lo tanto, es de acceso público a nivel de la red. Toda la información que se aloja allí es susceptible de modificación y eliminación. Todos los funcionarios son responsables de la información alojada en el acceso público, y por ende debe realizar depuración constante y borrado de información innecesaria para evitar el lleno de la capacidad de almacenamiento. Uso del Correo electrónico Institucional La Administración Municipal posee cuentas de correo electrónico institucional por parte del Programa de Gobierno en línea para cada una de las dependencias de la Entidad. (Véase Política de uso de correo electrónico de Gobierno en Línea). La Administración municipal implementó el sistema de Correo electrónico institucional para cada uno de los funcionarios con el ánimo de facilitar y hacer más eficiente, eficaz y efectiva la comunicación, acceso a información para necesidades del trabajo, así mismo racionalizar el uso de material de escritorio (evitar el gasto innecesario de papel), como apoyo al cumplimiento de la política de uso eficiente del papel en la Entidad.

7 El correo interno se encuentra configurado en el aplicativo Microsoft Outlook o se puede acceder a través de acceso directo en el escritorio en el icono llamado Correo OWA. Para el ingreso a la cuenta se debe usar el nombre de usuario asignado por la oficina de sistemas y la clave establecida para el ingreso al computador de trabajo. El sistema de correo electrónico del trabajo, es propiedad de la Entidad y todo lo que un empleado escriba allí puede ser leído por otras personas y/o supervisado, por lo tanto, se han establecido lineamientos para el uso adecuado de esta herramienta, los cuales serán de obligatorio cumplimiento para hacer más productiva la labor diaria. Consultar el correo interno a diario, pues se implementó como medio de comunicación interna. El correo no es una herramienta para la conversación. Enviar correo únicamente si es necesario. No re-envíe mensajes inapropiados No imprimir los correos si no es necesario. No abra archivos adjuntos sospechosos o haga clic en enlaces en correos que se reciben de extraños. El correo electrónico asignado a cada funcionario será usado solamente para el envío y recepción de documentos relacionados con la actividad en cumplimiento de sus funciones en la Administración. Si requiere compartir información de archivos (documentos de tamaño elevado, fotos, música y videos institucionales), no use el correo interno, utilice la red de archivos compartidos, para evitar la degradación del servicio de correo y saturación involuntaria de los buzones de los usuarios. Evitar participar en la propagación de cartas encadenadas como propagandas de eventos, reuniones o mensajes no relacionados con la Administración, o participar en esquemas piramidales o temas similares. Por cambio de computador, se deberá comunicar a la oficina de sistemas para que sea configurada la cuenta de correo interno nuevamente. Evitar realizar cambios en la configuración del correo electrónico, lo cual es responsabilidad únicamente de la oficina de sistemas. Verifique siempre la dirección del destinatario para enviar información confidencial solo a quienes se pretende enviar. No preste su dirección de correo para que alguien envíe un mensaje en su nombre. La Secretaría General, a través de la oficina de sistemas, realizará de manera periódica y sorpresiva el control del uso del correo interno a los servidores públicos de la Administración municipal.

8 Uso responsable de Internet Internet es un servicio que la administración municipal pone a disposición de sus funcionarios y personal de apoyo para uso estrictamente laboral. Sin embargo, la Entidad es consciente de que la introducción de Internet en el ámbito laboral aumenta las amenazas a la seguridad de la red, afecta a la productividad de sus funcionarios y disminuye el ancho de banda disponible. Por tanto, se considera obligada a establecer las siguientes premisas: Los funcionarios y contratistas son los únicos responsables de las sesiones iniciadas en Internet desde sus equipos de trabajo, y se comprometen a acatar las reglas y normas de funcionamiento establecidas en la presente Norma. El servicio de internet será instalado única y exclusivamente en los computadores de escritorio y portátiles que se encuentren en uso dentro de las instalaciones de la administración municipal y desarrollando actividades propias laborales. El uso del internet en dispositivos móviles personales será restringido y autorizado únicamente para la alta dirección. El acceso a Internet por personal visitante requiere la previa autorización y registro por parte de la oficina de sistemas (ej: capacitadores, Entes de control) La Entidad se reserva el derecho a filtrar el contenido al que el usuario puede acceder a través de Internet desde los recursos y servicios propiedad de la alcaldía, así como a monitorear y registrar los accesos realizados desde los mismos. En caso de que un usuario considere necesario acceder a alguna dirección incluida en una de las categorías filtradas, se pondrá en contacto con su jefe inmediato para que éste solicite a la oficina de sistemas el acceso correspondiente. Los usuarios que para el desempeño de sus obligaciones dispongan del servicio de Internet ofrecido por la entidad, se regirán bajo las siguientes normas de comportamiento: En ningún caso se modificarán las configuraciones de los navegadores (opciones de Internet) de los equipos ni la activación de servidores o puertos sin la autorización por escrito de la Oficina de Sistemas. Todos los equipos que así lo estima la entidad, ya están configurados para su acceso a Internet.

9 Se prohíbe expresamente el acceso, la descarga y/o el almacenamiento en cualquier soporte, de páginas con contenidos ilegales, dañinos, inadecuados o que atenten contra la moral y las buenas costumbres y, en general, de todo tipo de contenidos que incumplan las normas éticas de la Entidad. No se permite el almacenamiento en los equipos de archivos y contenidos personales descargados vía Internet, especialmente aquellos que violen la legislación vigente relativa a Propiedad Intelectual. Los usuarios deberán respetar y dar cumplimiento a las disposiciones legales de derechos de autor, marcas registradas y derechos de propiedad intelectual de cualquier información visualizada u obtenida mediante Internet haciendo uso de los recursos informáticos o de red de la Alcaldía de San Luis de Palenque. Bajo ningún concepto se podrán utilizar programas de descarga de archivos como música, videos y demás programas y archivos. que afecten el normal funcionamiento de la red interna. Asimismo, se prohíbe el uso de Internet mediante los recursos informáticos o de red de la entidad con fines recreativos, así como para obtener o distribuir material violento o pornográfico, o para obtener o distribuir material incompatible con los valores de la entidad. El uso de chats o programas de conversación en tiempo real y acceso remoto está permitido, única y exclusivamente para atención y soporte de los sistemas de información de la entidad y asuntos de tipo laboral. Cualquier incidente de seguridad relacionado con la navegación por Internet, deberá ser comunicado sin demora al responsable directo. La contravención de las normas anteriores dará lugar a las medidas disciplinarias y/o legales a las que la entidad pueda acogerse para la preservación de sus derechos. Adicionalmente, se establecen las siguientes recomendaciones y normas de buen uso de Internet: Por motivos de seguridad, deberá evitarse la descarga de software ejecutable desde Internet. Use siempre protocolos seguros para acceder a información crítica, como en la realización de transacciones financieras.

10 En particular debe restringirse la utilización de imágenes (como los formatos GIF, JPG, BMP o TIFF entre otros), sonido (formatos WAV y MP3 principalmente) y video (MPG, DivX, AVI, RAWo similares) para fines ajenos a la actividad laboral, debido a que el tamaño de estos archivos satura los canales de comunicación y disminuye la velocidad de transmisión perjudicando al funcionamiento de la red en su conjunto. No es recomendable dejar abiertas páginas que se actualizan periódicamente ni varias conexiones simultáneas, ya que consumen recursos de red innecesariamente. Instalación de software La instalación de todo tipo de software en los equipos de cómputo de la entidad, solo lo realizará la oficina de sistemas o con autorización de ella, de tal forma que una vez se identifique que exista software instalado sin la respectiva licencia y autorización, o software que no sea de uso laboral, la oficina de sistemas procederá a su desinstalación. CONTROL DE ACCESO Todos los funcionarios y personal de apoyo ubicados en el centro Administrativo Municipal, tendrán un usuario y contraseña para el acceso a los equipos de cómputo y servicios de la red de datos. La oficina de sistemas creará los respectivos usuarios para control desde el servidor central. Las contraseñas deben tener un nivel de complejidad alto, compuestas por mínimo 8 dígitos, caracteres en minúscula, mayúscula, numéricos y especiales, para garantizar la seguridad del usuario y la información. Dicha contraseña solo durará vigente durante 30 días y se deberá cambiar. La contraseña es personal y de conocimiento únicamente del usuario, por lo tanto: Nunca comparta su contraseña con los demás compañeros de trabajo, amigos, colegas o familiares. No envíe sus contraseñas por correo electrónico, mensajes de texto o chats. Cuando se presenten cambios de cargo o computador, se debe ingresar con el usuario y contraseña propio asignado.

11 Cualquier falta o incumplimiento a esta política podría generar sanciones disciplinarias. Los accesos de los usuarios serán desactivados en los sistemas por solicitud previa del jefe inmediato, o una vez el usuario concluya su vinculación laboral con la Entidad. El acceso al servicio de internet, se tendrá a partir del acceso a los equipos conectados en la red local. El servicio de internet por vía inalámbrica será autorizado por la oficina de sistemas.