LOTERÍA NACIONAL PARA LA ASISTENCIA PUBLICA DIRECCIÓN GENERAL MANUAL DE SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 LOTERÍA NACIONAL PARA LA ASISTENCIA PUBLICA DIRECCIÓN GENERAL MANUAL DE SEGURIDAD DE LA INFORMACIÓN POLITICAS DE SEGURIDAD DE LA INFORMACIÓN Página 1 de POLÍTICAS DE SEGURIDAD PARA RECURSOS HUMANOS 11.1 OBJETIVOS Garantizar la seguridad de la información durante la fase de contratación, capacitación y fin de relación laboral sobre los recursos humanos de Lotería Nacional La aplicación de los siguientes controles de la norma ISO o 8.1 Previo a la contratación Roles y responsabilidades Investigación Términos y condiciones de la contratación o 8.2 Durante el empleo Administración de responsabilidades Conocimiento, educación y entrenamiento de seguridad de la información o 8.3 Terminación o cambio de empleo Terminación de responsabilidad Devolución de activos Remoción de accesos 11.2 ALCANCE Los procesos mencionados en el anexo Alcance del Manual de seguridad de la Información de Lotería Nacional DEFINICIONES Activo Es la información en particular, y todo aquello que la contenga, a la que Lotería Nacional le ha asignado directamente un valor por la importancia que representa para sus procesos. Contraseña Conjunto de caracteres que restringe el acceso hacia un sistema o área restringida ID de usuario Modo de identificación personal que permite a un usuario junto con su contraseña ingresar a la red, sistemas o aplicaciones de lotería Nacional. Mejora continua Identificación, revisión y evaluación que permite realizar recomendaciones para modificar el SGSI, proceso, política o procedimiento. Seguridad de la información

2 Página 2 de 5 Arquitectura de protección de la información y de los activos de Tecnología de Información, que integra mecanismos de control manuales y automatizados para prevenir, detectar y corregir eventos que pueden dañar o perturbar la operación de la Lotería Nacional al afectar la integridad, confidencialidad o disponibilidad de la información. Tarjeta de acceso Medio de control de acceso físico que permite a un usuario ingresar a un área donde su ingreso sea restringido por ese conducto. Token Medio de control de acceso lógico que permite a un usuario ingresar a un sistema donde su ingreso sea restringido por ese conducto. SGSI Sistema de Gestión de seguridad de la información 11.4 CONFIDENCIALIDAD La información presente en estas políticas es considerada como privada y está dirigida a todo el personal de Lotería Nacional que su labor interactué con los procesos que están definidos en el alcance del SGSI, el uso por personas no autorizadas queda estrictamente prohibido INCUMPLIMIENTOS El incumplimiento accidental o deliberado de las políticas de Seguridad de la Información, será considerado una falta administrativa y tendrá consecuencias laborales, legales y/o penales, dependiendo de la gravedad de la falta [1][2] NOMENCLATURA Para diferenciar las políticas expresadas en este documento con otras que se hayan establecido se realizará de la siguiente manera: RH representará que la política mencionada pertenece a este documento. Los siguientes dos dígitos representan el número de dominio de controles que fueron implementados en este documento Los últimos dígitos representan el consecutivo de las políticas expresadas DEFINICIONES DE POLÍTICAS RH-11/01 RH-11/02 Es responsabilidad de los empleados de Lotería Nacional tener conocimiento de sus funciones laborales a través de los manuales de procedimientos del área que le corresponda El área de Empleo debe realizar una verificación de los datos personales y referencias laborales proporcionados por los candidatos a ocupar una plaza vacante en Lotería Nacional, previo a su contratación.

3 Página 3 de RH-11/03 RH-11/04 RH-11/05 RH-11/06 RH-11/07 RH-11/08 RH-11/09 El área de Empleo debe establecer claramente los términos y condiciones de contratación de empleados de Lotería Nacional a través de un documento, el cual la institución deberá formalizar en conjunto con el candidato, quien también debe entregar la documentación necesaria solicitada Los niveles Gerenciales son responsables de difundir y vigilar que el personal a su cargo cumpla las políticas sobre seguridad de la información implementada en la Lotería Nacional. Los empleados que se desempeñen dentro de Lotería Nacional deben conocer y acatar los lineamientos de seguridad de la información, además son responsables del uso y mantenimiento de la confidencialidad e integridad de los activos, así como de claves y controles de acceso que les han sido asignados a través de un acuerdo de confidencialidad. Los empleados son responsables del uso, mantenimiento, confidencialidad e integridad de los activos, así como de claves y controles de acceso que le han sido asignados. Los empleados deben firmar una responsiva sobre los permisos de acceso y uso de recursos que les permita acceder a los sistemas, instalaciones y áreas restringidas de la Lotería Nacional según su perfil laboral. Todo el personal de Lotería Nacional debe leer, entender y comportarse de acuerdo con el código de conducta y políticas de seguridad de la Institución dependiendo de su perfil laboral. Además debe indicar su entendimiento sobre el código de conducta en un documento firmado donde mencione que conoce, entiende y está de acuerdo en cumplir con el código y las políticas. Todo el personal empleado de la Lotería Nacional debe recibir entrenamiento periódico coordinado por el área de Organización y Desarrollo de Personal y ser apoyado con referencias de materiales que le permitan proteger apropiadamente la información, los activos y recursos de Información de la Institución, así mismo se le debe dar a conocer las sanciones que se llevarán a cabo por los incumplimientos relacionados con Seguridad de la información. La Lotería Nacional debe contar con un programa de concienciación y difusión continua de la Seguridad de la Información.

4 Página 4 de 5 RH-11/10 RH-11/11 RH-11/12 RH-11/13 RH-11/14 RH-11/15 RH-11/16 Los empleados tienen derecho a conocer la naturaleza de los posibles incidentes de seguridad que pudieran poner en peligro su integridad personal dentro de su lugar de trabajo, así mismo proveer protección para disminuir el riesgo del empleado, así como recibir entrenamiento para actuar en caso que el incidente ocurra. La información personal de los funcionarios y empleados en poder de Lotería Nacional no debe publicarse ni difundirse, a menos que las autoridades judiciales lo soliciten o el IFAI, siempre y cuando no sea información de carácter privado. El jefe inmediato del empleado será el encargado de avisar a Recursos Humanos la separación de labores del empleado, y éste a su vez a la Gerencias de telecomunicaciones y centro de cómputo para que sean removidos todos los códigos de acceso entregados al empleado, respaldada su información, monitoreados sus actividades dentro de los sistemas a los que tiene acceso y al terminar labores deshabilitar las cuentas pero nunca eliminarlas El jefe inmediato, telecomunicaciones y el área de Seguridad y Vigilancia deben cerciorarse que el empleado no saque información de cualquier tipo, equipo u otros activos de la Lotería Nacional al terminar funciones laborales Antes de que el empleado deje sus funciones deberá sujetarse a un procedimiento de entrega/recepción ante el Órgano Interno de Control de los activos que se le hayan entregado de manera formal o informal durante el periodo que laboró en la empresa. Así mismo deberá entregar toda la información desarrollada en el desempeño de sus funciones, de acuerdo a lo estipulado en el contrato laboral Se deberá realizar una entrevista de salida del empleado para detectar posibles extracciones de información confidencial o privada, detectar resentimientos que puedan generar acciones en contra de la institución o con el fin de mejora continua dentro de la Lotería Nacional Recursos Humanos deberá dar aviso a la Gerencia de Telecomunicaciones cuando un usuario cambie de puesto y por tanto sus privilegios de acceso deban cambiar. En caso de que el usuario haya sido movido a un puesto inferior, Recursos Humanos deberá solicitar a telecomunicaciones que el usuario sea monitoreado exhaustivamente a partir de este momento hasta nuevo aviso

5 Página 5 de 5 RH-11/17 El jefe inmediato debe tener una estrategia para que una tarea pueda ser realizada por otros usuarios cuando el titular se encuentre de vacaciones, incapacitado o ausente por algún otro motivo 11.8 REFERENCIA [1] Políticas de seguridad para el incumplimiento de la seguridad de la información [2] Manual de políticas, estándares y guías de seguridad de Tecnología de la información [3] Procedimiento para el pago directo a cursos externos [4] Procedimiento para reclutamiento y selección de solicitudes a ocupar plaza en Lotería Nacional [5] Producción para reclutamiento y selección de candidatos a ocupar plaza vacante en Lotería Nacional [6] Procedimiento para promociones y cambios de adscripción [7] Procedimiento para el término laboral de empleados en Lotería Nacional