POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

Transcripción

1 Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014

2 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración general que representa la posición de la administración municipal de Recetor con respecto a la protección de los activos de información (los funcionarios, la información, los procesos, las tecnologías de información incluido el hardware y el software), a la implementación del Sistema de Gestión de Seguridad de la Información y al apoyo, generación y publicación de sus políticas, procedimientos e instructivos. OBJETIVO ESTRATÉGICO La Alcaldía de Recetor, para el cumplimiento de su misión, visión, objetivo estratégico y apegado a sus valores corporativos, establece la función de Seguridad de la Información en la Entidad, con el objetivo de: o Cumplir con los principios de la función administrativa. o Minimizar el riesgo en las funciones más importantes de la entidad. o Cumplir con los principios de seguridad de la información. o Apoyar la innovación tecnológica. o Mantener la confianza de sus clientes, socios y empleados. o Implementar el sistema de gestión de seguridad de la información. o Proteger los activos tecnológicos. o Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información. o Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes y clientes de la Alcaldía de Recetor. o Garantizar la continuidad del negocio frente a incidentes. ALCANCE o Esta política aplica a toda la entidad, sus funcionarios, terceros, aprendices, practicantes, proveedores de la Alcaldía de Recetor y la ciudadanía en general.

3 Página 3 de 10 NIVEL DE CUMPLIMIENTO Todas las personas cubiertas por el alcance y aplicabilidad se espera que se adhieran en un 100% de la política. POLÍTICAS GENERALES DE SEGURIDAD DEL SGSI A continuación se establecen las 12 políticas de seguridad que soportan el SGSI de la Alcaldía de Recetor. o La Alcaldía de Recetor ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades del negocio, y a los requerimientos regulatorios. o Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o terceros. o La Alcaldía de Recetor protegerá la información generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros (ej. proveedores o clientes), o como resultado de un servicio interno en outsourcing. o La Alcaldía de Recetor protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia. o La Alcaldía de Recetor protegerá su información de las amenazas originadas por parte del personal. o La Alcaldía de Recetor protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos. o La Alcaldía de Recetor controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.

4 Página 4 de 10 o La Alcaldía de Recetor implementará control de acceso a la información, sistemas y recursos de red. o La Alcaldía de Recetor garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información. o La Alcaldía de Recetor garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad. o La Alcaldía de Recetor garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos. o La Alcaldía de Recetor garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas. Seguridad en los Equipos SEGURIDAD FISICA Y DEL ENTORNO Los equipos servidores de la Entidad que contengan información y servicios institucionales deben ser mantenidos en un ambiente seguro y protegido por los menos con: o Controles de acceso y seguridad física. o Sistemas de extinción de conflagraciones. o Bajo riesgo de inundación. o Sistema de respaldo por fuentes de potencia ininterrumpida (UPS). Todos los equipos de cómputo a cargo de los funcionarios de la entidad deben estar protegidos a través de sistemas de UPS, y deben tener jornadas de mantenimiento preventivo y correctivo, actividad que se encuentra consignada en el procedimiento Mantenimiento del Hardware, Software y la Red interna. Retiro de los Equipos de cómputo de la Entidad Los computadores personales, portátiles, y cualquier activo de tecnología de información, podrán salir de las instalaciones de la Alcaldía únicamente con la autorización de salida del área de Almacén Municipal.

5 Página 5 de 10 Los usuarios no deben mover o reubicar los equipos de cómputo o de telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorización de la oficina de Sistemas, en caso de requerir este servicio deberá solicitarlo. ADMINISTRACION DE LAS COMUNICACIONES Y OPERACIONES Protección contra software malicioso o virus En los mantenimientos preventivos programados por la oficina de sistemas, se tendrá en cuenta el estado de los antivirus instalados, su actualización y ejecución. Como control mínimo, los servidores y equipos de cómputo deben estar protegidos por software antivirus con capacidad de actualización automática en cuanto a firmas de virus. No acceda a enlaces de internet sospechosos. No abra archivos adjuntos sospechosos o de fuentes no reconocidas. Cualquier situación de virus en los equipos que los funcionarios detecten, debe ser informada a la oficina de sistemas de inmediato, para que esta realice el diagnóstico y ejecución de soluciones correspondientes. Esta solicitud deberá realizarse a través de los medios electrónicos implementados al interior de la entidad. Copias de Seguridad Toda la información institucional generada a través de los sistemas de información y localmente en los equipos de cómputo de los funcionarios, que sean de interés a los procesos de la administración Municipal, tiene carácter de reserva y confidencialidad, por lo que no podrá ser copiada, transmitida o utilizada por terceros sin la autorización de la oficina de sistemas. La información debe ser resguardada a través de copias de seguridad máximo cada mes, durante los primeros 5 días. Se entiende que los usuarios que no realicen copia de seguridad durante el tiempo establecido, no requieren realizarla, dándose un 100% de cumplimiento en las copias efectuadas. Las copias de seguridad del sistema de información administrativo y financiero serán alojadas en el servidor dispuesto y en la nube.

6 Página 6 de 10 Las copias de seguridad resultado de los funcionarios, serán almacenadas en un dispositivo extraíble. Administración de configuraciones de red Todo equipo de TI que se requiera instalar en la red, deberá ser revisado y configurado por la oficina de sistemas, cualquier equipo que no esté autorizado para funcionar en la red interna será desconectado. Periódicamente, y de acuerdo a solicitud de los funcionarios usuarios de equipos de cómputo, se deberán revisar los cables de red o pachcord y realizar los ajustes y cambios necesarios para el normal funcionamiento de la red. Políticas de uso de la Red: Se implementó un espacio en la red para compartir la información entre los usuarios de la red, por lo tanto, es de acceso público a nivel de la red. Toda la información que se aloja allí es susceptible de modificación y eliminación, para cada dependencia en las cuales se tiene red disponible. Todos los funcionarios son responsables de la información alojada en el acceso público, y por ende debe realizar depuración constante y borrado de información innecesaria para evitar el lleno de la capacidad de almacenamiento. Uso del Correo electrónico Institucional La Administración Municipal posee cuentas de correo electrónico institucional por parte del Programa de Gobierno en línea para cada una de las dependencias de la Entidad. La Administración municipal implementó el sistema de Correo electrónico institucional para cada uno de los funcionarios con el ánimo de facilitar y hacer más eficiente, eficaz y efectiva la comunicación, acceso a información para necesidades del trabajo, así mismo racionalizar el uso de material de escritorio (evitar el gasto innecesario de papel), como apoyo al cumplimiento de la política de uso eficiente del papel en la Entidad

7 Página 7 de 10 El sistema de correo electrónico del trabajo, es propiedad de la Entidad y todo lo que un empleado escriba allí puede ser leído por otras personas y/o supervisado, por lo tanto, se han establecido lineamientos para el uso adecuado de esta herramienta, los cuales serán de obligatorio cumplimiento para hacer más productiva la labor diaria. o Consultar el correo interno a diario, pues se implementó como medio de comunicación interna. o El correo no es una herramienta para la conversación. o Enviar correo únicamente si es necesario. o No re-envíe mensajes inapropiados o No imprimir los correos si no es necesario. o No abra archivos adjuntos sospechosos o haga clic en enlaces en correos que se reciben de extraños. o El correo electrónico asignado a cada funcionario será usado solamente para el envío y recepción de documentos relacionados con la actividad en cumplimiento de sus funciones en la Administración. o Si requiere compartir información de archivos (documentos de tamaño elevado, fotos, música y videos institucionales), no use el correo interno, utilice la red de archivos compartidos, para evitar la degradación del servicio de correo y saturación involuntaria de los buzones de los usuarios. o Evitar participar en la propagación de cartas encadenadas como propagandas de eventos, reuniones o mensajes no relacionados con la Administración, o participar en esquemas piramidales o temas similares. o Evitar realizar cambios en la configuración del correo electrónico, lo cual es responsabilidad únicamente de la oficina de sistemas. o Verifique siempre la dirección del destinatario para enviar información confidencial solo a quienes se pretende enviar. o No preste su dirección de correo para que alguien envíe un mensaje en su nombre. Uso responsable de Internet Ya que la entidad no cuenta con un servicio de Internet y cada funcionario al ser requerido de este servicio lo realiza mediante sus propios medios, se recomienda que este uso sea estrictamente laboral. Sin embargo, la Entidad es consciente de que la introducción de Internet en el ámbito laboral aumenta las amenazas a la seguridad de la red, afecta a la productividad de sus funcionarios. Por tanto, se considera obligada a establecer las siguientes premisas: o Los funcionarios y contratistas son los únicos responsables de las sesiones iniciadas en Internet desde sus equipos de trabajo, y se comprometen a

8 Página 8 de 10 acatar las reglas y normas de funcionamiento establecidas en la presente Norma. o En el momento en que la administración cuente con su conexión de internet propia, el servicio de internet será instalado única y exclusivamente en los computadores de escritorio y portátiles que se encuentren en uso dentro de las instalaciones de la administración municipal y desarrollando actividades propias laborales teniendo en cuenta los siguientes puntos. o El uso del internet en dispositivos móviles personales será restringido y autorizado únicamente para la alta dirección. o El acceso a Internet por personal visitante requiere la previa autorización y registro por parte de la oficina de sistemas (ej: capacitadores, Entes de control) o La Entidad se reserva el derecho a filtrar el contenido al que el usuario puede acceder a través de Internet desde los recursos y servicios propiedad de la alcaldía, así como a monitorear y registrar los accesos realizados desde los mismos. En caso de que un usuario considere necesario acceder a alguna dirección incluida en una de las categorías filtradas, se pondrá en contacto con su jefe inmediato para que éste solicite a la oficina de sistemas el acceso correspondiente. o Los usuarios que para el desempeño de sus obligaciones dispongan del servicio de Internet ofrecido por la entidad, se regirán bajo las siguientes normas de comportamiento: o En ningún caso se modificarán las configuraciones de los navegadores (opciones de Internet) de los equipos ni la activación de servidores o puertos sin la autorización por escrito de la Oficina de Sistemas. Todos los equipos que así lo estima la entidad, ya están configurados para su acceso a Internet. o Se prohíbe expresamente el acceso, la descarga y/o el almacenamiento en cualquier soporte, de páginas con contenidos ilegales, dañinos, inadecuados o que atenten contra la moral y las buenas costumbres y, en general, de todo tipo de contenidos que incumplan las normas éticas de la Entidad. o No se permite el almacenamiento en los equipos de archivos y contenidos personales descargados vía Internet, especialmente aquellos que violen la legislación vigente relativa a Propiedad Intelectual. Los usuarios deberán

9 Página 9 de 10 respetar y dar cumplimiento a las disposiciones legales de derechos de autor, marcas registradas y derechos de propiedad intelectual de cualquier información visualizada u obtenida mediante Internet haciendo uso de los recursos informáticos o de red de la Alcaldía de Recetor. o Bajo ningún concepto se podrán utilizar programas de descarga de archivos como música, videos y demás programas y archivos. que afecten el normal funcionamiento de la red interna y equipos de cómputo. o Asimismo, se prohíbe el uso de Internet mediante los recursos informáticos o de red de la entidad con fines recreativos, así como para obtener o distribuir material violento o pornográfico, o para obtener o distribuir material incompatible con los valores de la entidad. o El uso de chats o programas de conversación en tiempo real y acceso remoto está permitido, única y exclusivamente para atención y soporte de los sistemas de información de la entidad y asuntos de tipo laboral. o Cualquier incidente de seguridad relacionado con la navegación por Internet, deberá ser comunicado sin demora al responsable directo. o La contravención de las normas anteriores dará lugar a las medidas disciplinarias y/o legales a las que la entidad pueda acogerse para la preservación de sus derechos. o Adicionalmente, se establecen las siguientes recomendaciones y normas de buen uso de Internet: Por motivos de seguridad, deberá evitarse la descarga de software ejecutable desde Internet. Use siempre protocolos seguros para acceder a información crítica, como en la realización de transacciones financieras. En particular debe restringirse la utilización de imágenes (como los formatos GIF, JPG, BMP o TIFF entre otros), sonido (formatos WAV y MP3 principalmente) y video (MPG, DivX, AVI, RAWo similares) para fines ajenos a la actividad laboral, debido a que el tamaño de estos archivos satura los canales de comunicación y disminuye la velocidad de transmisión perjudicando al funcionamiento de la red en su conjunto. No es recomendable dejar abiertas páginas que se actualizan periódicamente ni varias conexiones simultáneas, ya que consumen recursos de red innecesariamente.

10 Instalación de software Página 10 de 10 La instalación de todo tipo de software en los equipos de cómputo de la entidad, solo lo realizará la oficina de sistemas o con autorización de ella, de tal forma que una vez se identifique que exista software instalado sin la respectiva licencia y autorización, o software que no sea de uso laboral, la oficina de sistemas procederá a su desinstalación. CONTROL DE ACCESO Todos los funcionarios y personal de apoyo ubicados en el centro Administrativo Municipal, tendrán un usuario y contraseña para el acceso a los equipos de cómputo y servicios de la red de datos. La oficina de sistemas creará los respectivos usuarios para control desde el servidor central. Las contraseñas deben tener un nivel de complejidad alto, compuestas por mínimo 8 dígitos, caracteres en minúscula, mayúscula, numéricos y especiales, para garantizar la seguridad del usuario y la información. Dicha contraseña solo durará vigente durante 90 días y se deberá cambiar. La contraseña es personal y de conocimiento únicamente del usuario, por lo tanto: o Nunca comparta su contraseña con los demás compañeros de trabajo, amigos, colegas o familiares. o No envíe sus contraseñas por correo electrónico, mensajes de texto o chats. o Cuando se presenten cambios de cargo o computador, se debe ingresar con el usuario y contraseña propio asignado. o Cualquier falta o incumplimiento a esta política podría generar sanciones disciplinarias. o Los accesos de los usuarios serán desactivados en los sistemas por solicitud previa del jefe inmediato, o una vez el usuario concluya su vinculación laboral con la Entidad. o El acceso al servicio de internet, se tendrá a partir del acceso a los equipos conectados en la red local. El servicio de internet por vía inalámbrica será autorizado por la oficina de sistemas.