POLITICAS INFORMATICAS I. POLITICAS DE SEGURIDAD 1. INTRODUCCION Para cautelar la seguridad y estabilidad de la red multiservicios del Gobierno Regional y evitar daños ocasionados por virus informáticos y hackers, así como detectar abusos internos se ha hecho necesario definir políticas de seguridad de manera de permitir al Gobierno Regional controlar y administrar la transmisión de datos en Internet /Intranet, en forma segura, rápida y confiable. 1.1 OBJETIVOS El objetivo del presente documento que contiene las Políticas Informáticas de la Institución, es velar que las acciones de los usuarios autorizados a conectarse a la Intranet del Gobierno Regional cumplan las siguientes premisas: 1. El Gobierno Regional podrá implementar en la Institución distintos niveles de acceso al servicio Internet/Intranet. 2. El recurso de ancho de banda es escaso, por lo que el uso de la Intranet del Gobierno Regional deberá ser racional y estará sujeto a vigilancia y supervisión por parte del Gobierno Regional. 3. El Gobierno Regional podrá suspender el servicio en caso de detectar mal uso, por parte de algún usuario. 4. Toda estación conectada a la red del Gobierno Regional deberá estar claramente identificada, y con una persona responsable de su uso. 5. El acceso a la Internet estará sujeto a las reglas aquí señaladas. 6. Este reglamento podrá ser modificado por el Gobierno Regional, de acuerdo a las mejoras tecnológicas y necesidades de éste. 1
2. PLATAFORMA TECNOLOGICA La plataforma tecnológica que soporta o que posee el Gobierno Regional está conformada por 7 servidores, más un rack de comunicaciones que posee cuatro switch D-Link de 24 puertas, uno modelo DES-3614i administrable, más 3 esclavos modelos DES-3624, todo este equipamiento se comunica mediante topología estrella con cable de par trenzado, categoría UTP nivel 5, con centro en la Sala de Máquinas de la Unidad de Informática. Esta plataforma se encuentra conectada a Internet a través de un enlace ADSL de 1 MB simétrico por medio de un Router Netopia, servicio que es entregado por la empresa Telefónica del Sur. El nombre y función de cada servidor se detalla a continuación: GOBREGX: Servidor UNIX que aloja los sistemas administrativos-contables sobre una plataforma COBOL85, y que son accesados vía Telnet o conexión remota por los usuarios autorizados para su acceso. SERVER1: Servidor HP con sistema operativo Windows 2000 Server y MS SQL Server, que aloja el Módulo Informático del Sistema de Información Geográfico del Gobierno Regional. SERVER2: Servidor IBM con sistema operativo Windows 2000 Advanced Server, que aloja la plataforma del Portal de Información Pública Regional. FIREWALL: Servidor Acer con sistema operativo Novell que se encarga de la administración de la conexión a Internet, así como del filtrado de contenido y paquetes que circulan desde y hacia de Red Internet, es decir, cumple la función de servidor de firewall, proxy caching y para la conexión VPN a la Plataforma del Gobierno Regional. EMAIL: IDS: Servidor Acer con sistema operativo Novell que se encarga del servicio de correo electrónico institucional del Gobierno Regional. Servidor HP con sistema operativo Windows 2000 Server, que se encarga de controlar el ataque externo como interno, a su vez de restringir de acuerdo a las Políticas de Seguridad Informática Institucionales el tráfico a Internet. ANTIVIRUS: Servidor HP con sistema operativo Windows 2000 Server y Antivirus Etrust InoculateIT 7.0, que cumple la función de chequear virus en correo entrante, como en el saliente. 2
3. CONSIDERACIONES GENERALES 1. La Unidad de Informática es responsable del buen funcionamiento de las redes locales de la Institución y de las redes de cobertura regional (Unidades Provinciales) y a esta Unidad le corresponde la relación con los proveedores de servicios (enlaces, redes y equipos) en lo relacionado con aspectos técnicos. 2. Los problemas detectados en la configuración de las aplicaciones, programas en las estaciones de trabajo y de red deberán ser reportados al área de soporte de la Unidad de Informática (soporte@goreloslagos.cl) 3. Las cuentas de correo son un servicio exclusivo para funcionarios (planta, contrata y honorarios) del Gobierno Regional. Estas cuentas residen en el servidor mail.goreloslagos.cl y tendrán la forma usuario@goreloslagos.cl 4. El Gobierno Regional no dará soporte de servicios de correo que no correspondan al entregado a través del servidor mail.goreloslagos.cl (ejemplo: hotmail, yahoo, starmedia, terra, etc.) 5. La falta de cumplimiento de las normas indicadas en el presente documento implicará la suspensión de los servicios para el usuario y las sanciones administrativas que correspondan. 4. NORMAS DE USO DEL CORREO ELECTRONICO 1. El sistema de correo electrónico que el Gobierno Regional pone a disposición de los usuarios es una herramienta de trabajo que debe ser usada para propósitos laborales. La información intercambiada por este medio deberá restringirse a propósitos institucionales y el Gobierno Regional estará facultado para aplicar todas las medidas necesarias para garantizar la estabilidad del servicio y su uso correcto sujeto a la ley vigente. 2. El usuario deberá mantener bajo reserva su clave de acceso a su cuenta en el servidor de e-mail. 3. El usuario tiene prohibido intentar acceder en forma no autorizada a la cuenta e-mail de otro usuario y tratar de tomar su identidad. 4. Los usuarios del Gobierno Regional deberán respetar la naturaleza confidencial de los datos que puedan caer en su poder ya sea como parte de su trabajo o por accidente. 3
5. El usuario deberá tener presente que no está garantizada la confidencialidad de los textos enviados a INTERNET a menos que éstos sean encriptados. 6. El usuario deberá usar un lenguaje respetuoso en sus mensajes con usuarios internos o externos y estos mensajes de ninguna forma podrán ser de contenido insultante, injurioso, amenazador, ofensivo, obsceno, racista o sexista. 7. El usuario deberá abstenerse de enviar/recibir por e-mail contenidos que no tengan relación con el trabajo y que sean de gran tamaño tales como videos, imágenes, archivos de audio (mp3), etc. 8. Esta prohibido al usuario enviar mensajes a otro usuario o grupo que no los quieran recibir. El usuario tiene prohibido molestar a otros usuarios internos o externos enviando cadenas de mensajes, promociones comerciales o mensajes repetitivos. 9. Esta prohibido al usuario el uso de seudónimos u otros sistemas para ocultar su identidad. En todos los mensajes debe estar claramente identificado el origen del mensaje. 10. El usuario debe abstenerse de enviar correos con archivos cuyo tamaño exceda los 3Mbytes a otro usuario o a un grupo de usuarios. 11. Se recomienda privilegiar el traspaso de información de gran tamaño vía la carpeta PUBLICA de uso compartido a usuarios de la misma red local, en vez de usar e-mail. 12. Se prohíbe hacer un uso comercial de su dirección de e-mail, y enviar publicidad a otros usuarios con el e-mail del Gobierno Regional. 13. Se prohíbe emitir opiniones personales en foros de discusión u otras instancias de naturaleza polémica con el e-mail del Gobierno Regional. 14. El usuario deberá abstenerse de recibir, abrir y/o ejecutar programas o documentos con contenido ejecutable cuya procedencia no sea conocida o sea sospechosa dado que puede tratarse de programas maliciosos (VIRUS). Además tiene prohibido difundir este tipo de contenidos a otros usuarios internos o externos. Por ningún motivo el usuario deberá abrir y/o ejecutar archivos que tengan triple extensión (ej. nombre_archivo.doc.exe), o que tengan la extensión PIF, LNK, BAT, EXE, or COM. La Unidad de Informática no se hará responsable por incidentes producidos por el no cumplimiento de estas políticas de seguridad. En caso de duda debe contactarse con el área de soporte (soporte@goreloslagos.cl), para chequeo de virus, y configuración de antivirus. 4
15. Como se señaló en las Consideraciones Generales, el Gobierno Regional no dará soporte de servicios de correo que no correspondan al entregado a través del servidor mail.goreloslagos.cl (ejemplo: hotmail, yahoo, starmedia, terra, etc.) 16. Se ha definido una cuota de espacio de disco en el servidor de correo de 100Mbytes por usuario, para almacenar temporalmente los correos mientras los usuarios los descargan en los computadores asignados a ellos. Se eliminarán todos los correos que sobrepasen la capacidad de almacenamiento indicada, por motivos de mantención, siendo responsabilidad de cada usuario mantener respaldos de la información recibida a través del correo electrónico. Sólo se realizará un respaldo mensual del correo el último día Viernes hábil de cada mes, bajo responsabilidad de la empresa que presta el servicio de correo electrónico, el cual luego será almacenado en la caja fuerte del Gobierno Regional. 17. El uso del listado de correos electrónicos es para su consulta y uso exclusivo dentro del Gobierno Regional, está prohibido difundir este listado por cualquier medio electrónico o impreso para propósitos que no sean de uso institucional. 5. RESPECTO DE LAS CUENTAS DE CORREO ELECTRONICO Tanto las solicitudes de creación como eliminación de cuentas de correo electrónico, deberán ser visadas por el respectivo Jefe de División. Para este efecto, toda solicitud deberá ser remitida por el jefe de Departamento o Unidad responsable, al Jefe de División correspondiente. Una vez visada la solicitud, ésta será derivada al Jefe de la División de Administración y Finanzas quién coordinará con la Unidad de Informática las acciones pertinentes hasta la notificación al funcionario correspondiente. 5
6. NORMA DE USO DE LA RED INTRANET Los usuarios autorizados a conectarse a la Intranet del Gobierno Regional, serán responsables de velar por el uso racional de la red y de cumplir las reglas y recomendaciones del Gobierno Regional, así como mantener el control de los equipos conectados a la red. 1. Debido a que el recurso ancho de banda es escaso, se prohíbe la utilización de la red para tráfico distinto al expresamente autorizado y definido en las Políticas Informáticas. En particular se prohíbe emplear el acceso a la red del Gobierno Regional para traficar o bajar archivos de imágenes, video o audio (ejemplo: formato mp3, avi, mpeg, mov), radios u otros servicios de entretención en línea, archivos de tamaño superior a 3 MB no relacionados con el trabajo, servicios IRC, chat, icq. Del mismo modo se prohibe servicio News a grupos no relacionados con temas laborales. 2. Todo usuario que esté autorizado para traficar y utilizar el servicio http, debe abstenerse de visitar sitios web no vinculados al trabajo en horarios laborales. Para velar por el cumplimiento de esta condición, el Gobierno Regional activará filtros de contenido, que impidan a los usuarios visitar sitios ofensivos u obscenos, según criterio del Gobierno Regional. 3. Queda prohibido habilitar conexiones con otras redes (públicas y privadas) vía enlaces conmutados o dedicados, desde los equipos conectados a la Intranet del Gobierno Regional. 4. Está prohibido modificar de manera alguna la configuración de sistemas operativos y hardware de equipos de comunicaciones, Pc s y servidores, pertenecientes al Gobierno Regional. La configuración de los equipos será efectuada únicamente por personal de la Unidad de Informática del Gobierno Regional. 5. El personal de la Unidad de Informática no deberá conectarse en forma remota a los equipos de comunicación (router), salvo expresa autorización del Gobierno Regional. 6. Todos los usuarios deberán velar por la confidencialidad de sus cuentas y password. Los usuarios deberán notificar de inmediato al Gobierno Regional sobre cualquier uso no autorizado de cuentas o cualquier otra violación a su seguridad, llamando al teléfono (65) 283148, y vía e-mail a la casilla soporte@goreloslagos.cl, especificando su nombre, teléfono y descripción del problema. 6
7. Está expresamente prohibido suplantar la identidad de terceras personas u organizaciones en sistemas de consulta a través del web u otras aplicaciones, orientadas a entregar información comercial de terceros. Está prohibido usar en Internet claves de acceso obtenidas en forma fraudulenta, que no pertenezcan al usuario o que sean de otra persona u organización. 8. No se podrá usar la red del Gobierno Regional para: transmitir material ilegal, difamatorio, que viole la privacidad de terceros, que sea amenazador, obsceno o infrinja los derechos de propiedad intelectual u otros derechos de terceros. 9. Se prohíbe usar la red para propósitos propagandísticos, comerciales, o de instituciones no relacionadas. 10. El usuario debe dar un uso adecuado y racional a los recursos disponibles en la red y al ancho de banda disponible. En relación a esto, el Gobierno Regional está facultado para restringir los anchos de banda disponibles para el usuario, frente a situaciones de un uso no adecuado de la red (por ejemplo: chat, icq, ftp a sitios no relacionados con temas laborales, descarga de archivos mp3, mpeg y avi, todo esto dentro de horario laboral). 11. El usuario tiene prohibido usar la red para prácticas desleales tales como intentar acceder en forma no autorizada a las estaciones de otros usuarios o servidores del Gobierno Regional. 12. El usuario tiene prohibido alterar información y/o eliminar contenidos de los servidores del Gobierno Regional y de las estaciones de trabajo de otros usuarios. 13. El usuario tiene prohibido intentar congestionar intencionadamente los enlaces de comunicaciones, servidores o sistemas informáticos del Gobierno Regional o de otras redes por cualquier medio. 14. El usuario tiene prohibido diseminar "virus", "gusanos" y todo otro programa dañino usando los recursos de la INTRANET del Gobierno Regional. No se podrá utilizar la red del Gobierno Regional para enviar archivos del tipo "Caballo de Troya" y mensajes no solicitados, como "spam" (o mensajes en seriemasivos). 15. El acceso a sitios en INTERNET identificados sólo por su dirección numérica (IP) será filtrado. Esto se debe a una mala configuración en el sitio de destino o bien se trata de sitios de hackers, de software pirata o software alterado, o de sitios con contenido ofensivo o para adultos, que usan esta modalidad para dificultar su identificación y no hacerse responsable por los contenidos publicados. 7
16. En caso de no cumplirse las normas aquí señaladas, el Gobierno Regional quedará facultado para cortar la conexión y servicios, informando a las Jefaturas de División y al usuario, de esta situación anómala vía e-mail. El corte de la conexión se prolongará hasta que se regularice la situación anómala, independientemente de eventuales responsabilidades administrativas que correspondan. 17. La identificación de la estación de trabajo, numeración IP y otras configuraciones asociadas a los protocolos de red corresponden a la Unidad de Informática del Gobierno Regional. La dirección IP de una estación de trabajo no podrá ser cambiada por el usuario a menos que dicha actividad sea expresamente autorizada por la Unidad de Informática. Cualquier cambio de dirección IP no autorizada será considerada una actividad hostil a la seguridad de la red y los servicios de red serán suspendidos al usuario que incurra en esta práctica. 8
7. LIMITACION DE RESPONSABILIDADES El Gobierno Regional no se responsabiliza por la informacion o contenidos que circulen por la red. Por lo tanto, exime de toda responsabilidad al Gobierno Regional por la transmisión de mensajes que contengan material: ilegal, difamatorio, obsceno, que invada la privacidad, abusivo, amenazador, perjudicial, vulgar, que pueda ser censurado, que viole derechos de terceros, que viole cualquier ley o reglamento local, estatal, nacional o internacional aplicable, que contenga virus, archivos del tipo "Caballo de Troya" o cualquier otro tipo de programa perjudicial, o no solicitado del tipo "spam" o mensajes en cadena "chain letters". Por lo tanto éste hecho será responsabilidad exclusiva del usuario. El Gobierno Regional no será responsable de cualquier daño o perjuicio directo, indirecto, incidental, especial o consecuente, que resulte del uso o la inhabilidad de usar el o los servicios autorizados, lo que será de responsabilidad del usuario. Tampoco será responsable del costo de adquisición de bienes o servicios adquiridos, ni de mensajes recibidos, u operaciones realizadas mediante el servicio. El Gobierno Regional no será responsable de ningún daño o perjuicio derivado de la interrupción, suspensión o terminación del servicio, por causas originadas por terceros. 8. TERMINO DEL SERVICIO El Gobierno Regional podrá cancelar el acceso del usuario a cualquier parte o a todo el servicio o servicios relacionados, en cualquier momento y bajo su exclusivo criterio, con motivo y aviso previo o sin ellos, en caso de que el Gobierno Regional considere que el usuario ha violado o actuado contrariamente a lo establecido en el presente reglamento, o que el usuario ha violado los derechos de otros usuarios. El Jefe Superior del Servicio se reserva el derecho de realizar auditorias y pruebas de seguridad, de manera de certificar el fiel cumplimiento de las normas aquí señaladas. En caso de detectarse anomalías, se suspenderá la conexión, informando a los responsables de la situación anómala. El corte de la conexión se prolongará hasta que se corrija la situación anómala, o hasta el plazo que designe el Gobierno Regional. 9
9. LEY DE DELITO INFORMATICO Se recuerda a los usuarios la plena vigencia de la Ley de Delito Informático, Nº 19.223 en vigencia en Chile desde el 28 de Mayo de 1993, descrita a continuación: Artículo 1 El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. Si como consecuencia de estas conductas se afectasen los datos contenidos en el sistema, se aplicara la pena señalada en el inciso anterior, en su grado máximo. Artículo 2 El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio. Artículo 3 El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio. Artículo 4 El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentara en un grado. 10
10. RESPECTO DE LA SALA DE MAQUINAS Ninguna persona está autorizada para ingresar a la Sala de Máquinas donde se encuentran los equipos de comunicaciones y servidores instalados por el Gobierno Regional, salvo el personal de la Unidad de Informática para trabajo específico, ya que puede significar una desconexión de la Red de Datos del Gobierno Regional, quedando sin servicio de correo electrónico, sin acceso a Internet, sin acceso a carpetas o recursos compartidos en la red (ejemplo: archivos, impresoras), ni a cualquier otro servicio que se esté prestando a través de las redes del Gobierno Regional. Por tal motivo, el Gobierno Regional no se responsabiliza de eventuales interrupciones de servicio, producto de intervenciones no informadas ni autorizadas sobre equipos de comunicaciones y servidores, sin perjuicio de las acciones administrativas y legales que pueda tomar contra quienes resulten responsables de estas acciones. Si por cualquier eventualidad se producen cortes de cableado, y/o traslados de la ubicación original de los equipos, debido a intervenciones sobre los equipos de comunicación, cableado y servidores no informadas ni autorizadas por la Unidad de Informática, que impliquen nuevas obras de tendidos de cables, se tomaran las acciones administrativas y legales a quienes resulten responsables de estas acciones. Si se detectase problemas o fallas en los equipos de comunicaciones y servidores (Ejemplo: routers, racks, etc.), o frente a cualquier duda o evento relacionado con los enlaces de comunicación, primero se debe informar de esta situación al teléfono de soporte de la Unidad de Informática (283148, casilla de correo: soporte@goreloslagos.cl), para luego y en caso de ser necesario, según expresas instrucciones de la Unidad de Informática, proceder a llamar a técnicos de la empresa contratista en terreno. Ninguna persona puede acceder a los racks, salvo previo aviso a la Unidad de Informática. Cuando se efectúen trabajos y reparaciones de este equipamiento, se debe informar a la Unidad de Informática de los trabajos involucrados, así como la empresa o personal quien realizará los trabajos, y el responsable a cargo (nombre, numero de teléfono) por parte del Gobierno Regional. Los trabajos sólo se podrán iniciar una vez que estos sean autorizados en forma expresa por la Jefatura de la División de Administración y Finanzas, previo informe técnico de la Unidad de informática. 11
II. POLITICAS DE RESPALDO 1. RESPALDO DEL CORREO ELECTRONICO 1. Bajo responsabilidad de la empresa que presta el servicio de Soporte del Correo Electrónico Institucional se respaldará la Base de Datos del Correo una vez por mes, lo cual permitirá recuperar los e-mail correspondientes a los dos últimos meses a partir de la fecha de respaldo. El Gobierno Regional dejará en los Buzones de los usuarios, los correos electrónicos correspondientes a los dos últimos meses en curso, siendo borrado todo histórico anterior, por lo que el respaldo de información fuera de éstas fechas es de responsabilidad de cada uno de los usuarios. Para el respaldo se bajará el servicio de correo el último día Viernes hábil de cada mes a las 19:00 hrs. para proceder a enviar al disco duro del Servidor de Respaldo la DATA del correo. El servicio será reestablecido el día Sábado a las 8:00 hrs. 2. Bajo responsabilidad de la Unidad de Informática se respaldará el día Sábado de la segunda semana de cada mes, a partir de las 9:00 hrs., de manera de tener un respaldo más efectivo de la DATA del Correo Electrónico Institucional. El servicio será reestablecido una vez hecho el respaldo. 3. Ambas acciones serán también respaldadas a través de una Unidad de Cinta, a cintas de 20Gb. las cuales serán almacenadas luego en una caja fuerte ubicada en las Oficinas del Departamento de Finanzas del Gobierno Regional para su protección. 4. Bajo responsabilidad de la empresa que presta el servicio de Soporte, se realizará una vez al mes la mantención del BACKUP. 12
2. RESPALDO DE ARCHIVOS 1. Por Política Institucional se define que la Carpeta Mis Archivos, tendrá toda la DATA de trabajo de cada usuario. 2. Bajo responsabilidad de la Unidad de Informática se respaldará la carpeta Mis Archivos todos los Viernes a partir de las 9:00 hrs., la cual será enviada al Servidor de Respaldo. 3. Ambos respaldos serán también respaldados a través de una Unidad de Cinta, a cintas de 20Gb. las cuales serán almacenadas luego en una caja fuerte ubicada en las Oficinas del Departamento de Finanzas del Gobierno Regional para su protección. Este respaldo será almacenado por un período de un año. 4. No se respaldará datos cuyos contenidos que no tengan relación con el trabajo y que sean de gran tamaño tales como videos, imágenes, archivos de audio (mp3), etc. En caso de requerir respaldar archivos con formato de imagen, video o audio y que tengan relación con el trabajo del funcionario, se deberá pedir autorización vía e-mail a la casilla soporte@goreloslagos.cl Nota: El respaldo de archivos será implementado cuando exista el software que permita ejecutar automáticamente los respaldos de datos. 13
3. RESPALDO DE SISTEMAS ADMINISTRATIVOS 1. Bajo responsabilidad de la Unidad de Informática se respaldará la DATA de los Sistemas Administrativos-Contables a 4 Unidades de Cinta (2 cintas para respaldo diario, 1 cinta para respaldo semanal, 1 cinta para respaldo mensual) de acuerdo al siguiente cronograma: DIARIAMENTE: Respaldo diario de la DATA a partir de las 13:30 hrs., en dos unidades de cinta, que son ingresas una cada día, por lo tanto, se tendría un respaldo total al día anterior ante cualquier eventualidad. SEMANALMENTE: Respaldo el día Viernes de cada semana a partir de las 13:30 hrs, de manera de tener un respaldo a la semana anterior ante cualquier eventualidad. MENSUALMENTE: Respaldo el último día hábil de cada mes a partir de las 13:30 hrs., de manera de tener un respaldo al último mes ante cualquier eventualidad. 2. Estas Unidades de Cinta, serán almacenadas luego en una caja fuerte ubicada en las Oficinas del Departamento de Finanzas del Gobierno Regional para su protección. Este respaldo será almacenado por un período de un año. 14
III. POLITICAS DE APLICACIONES 1. ACTUALIZACION DIARIA DE ANTIVIRUS Peligro: Los virus pueden dañar o eliminar archivos, o incluso borrar todo el disco duro. El software de protección contra virus si no esta actualizado ofrece una protección muy débil contra nuevos virus. Se ha instalado un servidor Antivirus con el Software Etrust InoculateIT, así como se han instalado clientes del antivirus en cada equipo de la Red del Gobierno Regional. Este software es un antivirus fiable que analiza regularmente todo el sistema para comprobar que no haya virus. Lo mas importante es que actualiza las definiciones de virus del software de forma frecuente y automática. Las estaciones clientes se actualizan diariamente a través de una conexión automática al Servidor Antivirus, manteniendo un nivel de seguridad alto. 2. NO AUTORIZAR LA RECEPCION DE ARCHIVOS DETERMINADOS COMO PELIGROSOS Peligro: Pueden enviarle sin saberlo virus adjuntos a los mensajes de correo electrónico. Se recomienda realizar una doble revisión antes de hacer doble clic. Si recibe un mensaje de correo electrónico con un archivo adjunto sospechoso, no abrirlo - incluso si se conoce al emisor y proceder a eliminarlo tanto del Buzón de entrada como de la Papelera. Nunca abrir archivos adjuntos de fuentes desconocidas o archivos adjuntos que no esperan y desactivar la apertura automática de archivos adjuntos de correo electrónico. No se debe caer en la trampa de creer saber que es el archivo adjunto. Windows permite múltiples extensiones y muchos programas de correo sólo mostraran la primera. Por ejemplo, se puede ver un archivo llamado trabajo.jpg cuando de hecho su nombre completo es trabajo.jpg.vbs, y por tanto abrir este archivo adjunto puede activar un VBScript malicioso. 15
3. IMPLEMENTACION DE SISTEMA DE DETECCION DE INTRUSOS (IDS) Peligro: Los hackers pueden tratar de entrar al sistema o a la Red de Datos del Gobierno Regional para capturar información o dañar archivos, o emplear algún PC para atacar a otros sistemas. Cada minuto que los Servidores o los PCs están conectados a la red, son vulnerables a intrusiones y al robo de información. No importa que tipo de conexión a Internet se tenga. Se ha instalado un Servidor Firewall para todo el Sistema, así como un Servidor con Software de Detección de Intrusos el cual registra todo el tráfico que se produce por la Red de Datos, de manera de informar de posibles ataques o violaciones a los sistemas de seguridad. Con las complejas amenazas combinadas de hoy en día, la detección de intrusos incorpora otra capa de seguridad al examinar el contenido del tráfico de Internet para detectar códigos maliciosos y ataques. 4. IMPLEMENTAR UN DETECTOR DE VULNERABILIDADES CENTRALIZADO. Peligro: Las amenazas y vulnerabilidades están evolucionando rápidamente. Resulta difícil estar al día con los cambios. Permanentemente y de acuerdo a los presupuestos existentes, se analizará la factibilidad de incorporar en las estaciones clientes un software que permita detectar vulnerabilidades del sistema operativo en uso, de manera de administrar la seguridad en Internet y protegerse contra amenazas. Se analizará al igual, el software Symantec Security Check que es un servicio gratuito que permite a los usuarios de PCs alrededor del mundo detectar, entender y resolver las vulnerabilidades de seguridad en Internet de sus Computadores. 16
5. IMPLEMENTAR EL CAMBIO DE PASSWORD EN FORMA PERIODICA Peligro: El navegador Web puede pedirle que recuerde su contraseña o número de tarjeta de crédito para el uso en el futuro en el mismo sitio. Si aceptan, los datos serán almacenados en tu computador, donde será accesible para los hackers o usuarios mal intencionados. Nunca permitir programas que pidan contraseñas o números de tarjetas de crédito. Cambiar las contraseñas frecuentemente, y no compartirlas con otros. Las contraseñas son una de las primeras Iíneas de defensa que se tienen para proteger los sistemas. Una buena contraseña es una combinación de alrededor de seis o mas caracteres, que contienen letras aleatorias (en mayúsculas y minúsculas), números y símbolos especiales. Evitar nombres, fechas de algo especial, números telefónicos, etc. 6. CONFIGURAR EL IDS PARA RESTRINGIR PAGINAS NO AUTORIZADAS Peligro: En Internet, se puede estar expuesto a material inadecuado o revelar accidentalmente información confidencial. Se restringirá a través del Firewall y del servidor IDS sitios Web cuestionables y servicios potencialmente peligrosos. Se puede configurar también el IDS para evitar que información confidencial sea enviada a través de Internet, correo electrónico o mensajes instantáneos. 7. RESTRINGIR EL USO DE CHAT PUBLICO Peligro: Durante una conversación a través de Internet, la persona con la que estas comunicándote puede no ser quien parece ser. Se restringirán todos los chats públicos, a excepción de MSN Messenger y HOTMAIL. 17
8. RESTRINGIR LA DESCARGA DE ARCHIVOS Y PROGRAMAS P2P. Peligro: Los programas gratuitos como protectores de pantalla y juegos que se descarguen de sitios Web a menudo son fuentes de virus, al igual que las conexiones a sitios de descarga de música, videos, etc. Se restringirá la descarga de archivos y programas a menos que se cuente con autorización. También se debe asegurar que los servidores que hospedan el sitio estén protegidos contra virus. 9. RESTRINGIR LA ACEPTACION DE COOKIES Peligro: Mientras se ve toda la información interesante en Internet, otros pueden estar observando los movimientos y la información que estas viendo. Desactivar la capacidad del computador para recibir cookies haciendo clic sobre la opción "Preferencias" de su navegador. Esto evitara que los sitios Web registren los movimientos en Internet. Se deja claramente establecido que todas estas Normativas se podrán modificar o actualizar por disposiciones superiores o que emanen de nivel central, al igual que se podrá anexar otras de acuerdo a las necesidades. COMITE DE INFORMATICA Puerto Montt, Junio de 2004. 18
Para esto firman, en calidad de titulares del Comité de Informática, visando las Políticas aquí descritas, para su posterior aprobación por parte del Sr. Intendente Regional de Los Lagos, los siguientes funcionarios: ALEJANDRO GALLARDO VIDAL Jefe Div. Anál. y Control de Gestión ARMANDO PEREZ NAVARRO Jefe Div. Adm. y Finanzas JORGE OYARZUN DIAZ Auditor Interno CARMEN MELLA FAGALDE Encargada PMG Institucional OSCAR OYARZO PEREZ Jefe Unidad de Informática 19