Attachments: Archivos adjuntos a los mensajes de correo electrónico.

Transcripción

1 10/12/2014 Página 1 de 8 1. OBJETIVO Describir el uso adecuado de los servicios, software, equipos de computación y redes de datos en La Entidad. Estas políticas buscan proteger la información, las personas y la Entidad. 2. ALCANCE Y CAMPO DE APLICACION Estas políticas están dirigidas a los funcionarios y contratistas de la Entidad que utilicen tecnología de información. Estas políticas aplican a los equipos propios o arrendados que tenga el Instituto. 3. DEFINICIONES Sistemas de información: Conjunto de recursos humanos y tecnológicos utilizados para la generación de información, orientada a soportar de manera más eficiente la gestión de operaciones en la Entidad Pública. Attachments: Archivos adjuntos a los mensajes de correo electrónico. Worm: También conocido como gusano informático es considerado una subclase y tiene la capacidad a propagarse sin la ayuda de una persona, aprovechando un archivo o las características del transporte del sistema. Spoofing: Falsificación de la dirección de red. NAS: Network Attachment Storage. Sistema de almacenamiento en red.

2 10/12/2014 Página 2 de 8 4 POLITICAS 4.1 POLÍTICAS PARA EL USO DE LA TECNOLOGÍA PARA EL PROCESAMIENTO DE LA INFORMACIÓN Y PROPIEDAD DE LA INFORMACIÓN - Los usuarios deben ser conscientes que los datos que ellos crean y manipulan en los sistemas durante el desarrollo normal de las actividades son propiedad y responsabilidad de la Entidad. Debido a la necesidad de proteger y vigilar la red y los sistemas de la Entidad, la administración no puede garantizar la confidencialidad absoluta de la información almacenada en cualquier dispositivo perteneciente a la Entidad. - Las personas autorizadas dentro de la Entidad podrán monitorear equipos, sistemas y tráfico de red en cualquier momento, con el fin de realizar mantenimiento a la red y garantizar la seguridad de la información. - INFIPEREIRA se reserva el derecho para auditar las redes y los sistemas periódicamente sin previo aviso para garantizar el cumplimiento de esta política. 4.2 POLÍTICAS DE INFORMACIÓN Y SEGURIDAD - Se recomienda a los usuarios tener claves seguras y NO compartir su cuenta de acceso y su contraseña con ningún otro usuario. Se sugiere que las claves de acceso cumplan las siguientes características: Tener mínimo 7 caracteres Debe tener mínimo una letra mayúscula Debe tener mínimo un carácter numérico No debe empezar por caracteres especiales (* / )

3 10/12/2014 Página 3 de 8 No debe contener parte o todo el nombre del usuario de red Debe ser actualizada de manera periódica - Se sugiere que todos los equipos de cómputo, portátiles y estaciones de trabajo tengan configurados un protector de pantalla de Windows con clave y con un tiempo de espera máximo de 5 minutos cuando el equipo no presente actividad. - Los equipos propios o arrendados que estén conectados a la red de INFIPEREIRA deben ejecutar regularmente el software antivirus con la base de datos o definiciones de virus actualizado. - Todos los usuarios de los equipos propios o arrendados de la red corporativa de INFIPEREIRA deben ser cuidadosos cuando abran los anexos (attachments) que vienen en los mensajes de correo electrónico que sean recibidos de remitentes desconocidos o sospechosos ya que pueden contener virus. 4.3 POLÍTICAS PARA EVITAR USOS INADECUADOS DE LOS RECURSOS DE TECNOLOGÍA INFORMÁTICA - Bajo ninguna circunstancia los funcionarios y contratistas de INFIPEREIRA pueden utilizar los recursos de la Entidad para realizar actividades prohibidas por las normas de la Entidad o por normas jurídicas nacionales e internacionales. - La siguiente es una lista de actividades que intenta proporcionar una referencia de las actividades que se ajustan a la categoría de uso inadecuado para Sistemas y Redes y para correo electrónico y sistemas de comunicaciones. Actividades en los Sistemas y en la Red:

4 10/12/2014 Página 4 de 8 Las siguientes actividades están prohibidas: - Violaciones de los derechos de cualquier persona o institución protegidos por derechos de autor, patentes o cualquier otra forma de propiedad intelectual. Entre otras actividades, se incluye la distribución o instalación de software sin la licencia de uso adecuada adquirida por la Entidad (software pirata). - Copia no autorizada de material protegido por derechos de autor que incluye, pero no está limitado a, digitalización y distribución de imágenes o fotografías de cualquier origen (revista, libros, página web, etc), digitalización y distribución de música, audio, video, distribución e instalación de software de los cuales ni la Entidad ni el usuario tienen la licencia debida. - Introducción de software malicioso en la red o en los servidores (virus, worms, ráfagas de correo electrónico no solicitado, etc.). - Revelar la clave o código de su cuenta a otros (pe: su cuenta de correo electrónico, su usuario de sistema de información, su código para realizar llamadas de larga distancia) o permitir su uso a terceros para actividades ajenas a la misión de la Entidad. La prohibición incluye familiares y cualquier otra persona que habite en la residencia del funcionario, cuando la actividad se realiza desde el hogar (ejemplo: portátiles, celulares o agendas electrónicas de propiedad de la entidad). - Utilizar la infraestructura de tecnología de información de la Entidad para conseguir o transmitir material con ánimo de lucro. Igualmente se prohíbe el uso del sistema de comunicaciones de la entidad con el fin de realizar algún tipo de acoso, difamación, calumnia o cualquier forma de actividad hostil. - Hacer ofrecimientos fraudulentos de productos o servicios cuyo origen sean los recursos propios de la Entidad.

5 10/12/2014 Página 5 de 8 - Realizar actividades que contravengan la seguridad de los sistemas o que generen interrupciones de la red o de los servicios. Entre las acciones que contravienen la seguridad de la red se encuentran, aunque no están limitadas a estas, acceder a datos cuyo destinatario no es usted, ingresar a una cuenta de un servidor o de una aplicación para la cual no está autorizado. La palabra interrupción incluye, pero no esta limitada a, capturar tráfico de la red, inundar de pings la red (ping es un comando que permite verificar que otros equipos están activos en la red), realizar spoofing de paquetes, ataques atribuidos a la negación de servicios (agresiones desde la red que buscan que servicios válidos como el correo electrónico o el servidor web se ocupen y no atiendan a usuarios legítimos. Se conoce también como ataques DDoS) o falsificar información de enrutamiento y de configuración de los equipos y sistemas con el objetivo de aprovechar alguna vulnerabilidad. - Está prohibido explícitamente el monitoreo de puertos o análisis de tráfico de red con el propósito de evaluar vulnerabilidades de seguridad. Las personas responsables de la seguridad informática pueden realizar estas actividades en coordinación con la administración de los servidores y la Dirección responsable. - Ejecutar cualquier herramienta o mecanismo de monitoreo de red de manera No Autorizada. - Burlar los mecanismos de seguridad, autenticación, autorización o de auditoría de cualquier servicio de red, aplicación, servidor o cuenta de usuario. - Interferir o negar el servicio a usuarios autorizados con el propósito de lesionar la prestación del servicio o la imagen de la Entidad. - Uso de comando o programas, o el envío de mensajes de cualquier tipo con el propósito de interferir o deshabilitar una sesión de usuario a través de cualquier medio local o remoto (Internet o Intranet). Actividades en correo electrónico y sistemas de comunicación:

6 10/12/2014 Página 6 de 8 Las siguientes actividades están prohibidas: - Enviar mensajes de correo no solicitados, incluyendo junk mail (material publicitario enviado por correo) o cualquier otro tipo de anuncio comercial a personas que nunca han solicitado ese tipo de material (spam, mensajes electrónicos masivos, no solicitados y no autorizados en el correo electrónico). - Cualquier forma de acoso a través de correo electrónico, teléfono o mensajes a localizadores personas (beepers) sin importar el idioma, la periodicidad o tamaño del mensaje. - Generar o enviar correos electrónicos a nombre de otra persona sin autorización o suplantándola. - Envío de mensajes de correo electrónico con una dirección de correo diferente al verdadero remitente con el fin de realizar algún tipo de acoso, difamación u obtener información. - Crear o reenviar cartas cadenas o cualquier otro esquema de pirámide de mensajes. - Colocar mensajes de correo iguales o similares no relacionados con las actividades de la Entidad a un gran número de grupos de noticia (newsgroup spam), mensajes electrónicos masivos, no solicitados y no autorizados en grupos de noticias. 4.4 POLÍTICAS DE RESPALDO DE LA INFORMACIÓN - INFIPEREIRA cuenta con un Sistema Automático de Copias de Seguridad mediante un dispositivo NAS (Network Attached Storage) para la información de cada uno de los computadores de la Entidad. Toda la información, almacenada en

7 10/12/2014 Página 7 de 8 la Carpeta "Mis Documentos" para Windows XP y Vista y Documentos para Windows 7 y versiones superiores, de cada equipo será respaldada de forma automática y con una frecuencia diaria en el sistema ya mencionado. - Se realiza cada dos meses copia a la información de los discos duros de los computadores instalados en la Zona de Permitido Parqueo por encontrarse estos ubicados fuera de las oficinas de INFIPEREIRA, mediante el modelo para sistemas de Backup PADRE e HIJO. Una copia se guarda en la caja fuerte de la Entidad y otra copia se guarda fuera de la Institución. Control: -Se realizará la verificación a las copias de seguridad de la NAS de manera periódica y aleatoria. - Se realizará la verificación del seguimiento a las copias de seguridad con el registro de las firmas de los usuarios de Zona de Permitido Parqueo. 4.5 POLÍTICAS RELACIONADAS CON CONTROLES DE ACCESO LÓGICO - Es responsabilidad directa de cada dirección de la Entidad, reportar oportunamente las creaciones, cancelaciones, inhabilitaciones o modificaciones de password, utilizando una solicitud de cuentas. - Toda solicitud de cuenta podría tener información como: los privilegios especiales (si son requeridos), el computador en el que va a trabajar, el username del usuario, tipo de novedad, nombre del solicitante, fecha de la solicitud. - Cada usuario tendrá acceso a los programas requeridos para el desarrollo normal de las funciones que tenga asignadas de acuerdo con el cargo.

8 10/12/2014 Página 8 de 8 - Puede restringirse el acceso de los usuarios a los horarios laborales únicamente, si son necesarias las excepciones, deben estar plenamente identificadas y justificadas. PREPARÓ APROBÓ Firma Cargo Profesional Especializado (Grado 4) Director Administrativo y Financiero