Fecha de emisión Vigencia Código Versión Página JUNIO 23 PCR-ST-NP-003-V1 Página 1 de 9 GESTIÓN DE USO DE RECURSOS INFORMÁTICOS Concepto Nombre y Apellido Cargo Firma Fecha de firma Elaborado por EQUIPO DE PROYECTO BPTC - PCR Revisado por SANDRA PACHECO / CARLOS LOPEZ CAMPUZANO JEFE DE SISTEMAS Aprobado OSCAR JASAUI PRESIDENTE EJECUTIVO
Página 2 de 9 1. OBJETIVO Normar el uso y cuidado de las computadoras personales (PC s) y periféricos así como de los servicios informáticos de la red de PCR. 2. ALCANCE El presente instructivo debe ser aplicado por el servicio contable de cada oficina de PCR. 3. NORMAS A CONSULTAR No requiere consultar otros documentos. 4. DEFINICIONES a. Cable de conexión a Periférico: Cable que permite la comunicación entre la CPU y un periférico. b. Cable de Data: Cable por el que viajan los datos de la red. c. Cable de Poder: Cable de alimentación eléctrica. d. Clave de Acceso o Contraseña o Password: Es una combinación de letras números y signos que debe digitarse para obtener acceso al arranque o inicio de un equipo de cómputo, protector de la pantalla, estación de trabajo, un punto en la red, programa aplicativo, etc. e. Componente o pieza: Dispositivo interno del computador personal (Por ejemplo; tarjeta de red, Disco duro, etc.). f. Computador Personal (PC): El conjunto formado por la unidad central de proceso (CPU), Monitor, Teclado y Mouse. g. Disco Duro: Componente interno donde se Almacena la información generada en cada Computador personal. Usualmente tiene gran capacidad de almacenamiento. h. Medios flexibles: son medios magnéticos generalmente elaborados sobre una cubierta de plástico. Ejemplos de ellos son: disquetes. i. Medio Ópticos: son medios de almacenamiento óptico elaborados por una cubierta metálica reflejante. Ejemplos de ellos son: Disco Compactos CD y DVD. j. Memoria USB: es un medio magnético de gran capacidad de almacenamiento, cuya Característica principal es conectarse al CPU mediante el puerto USB. k. Disco Externo: son medios de almacenamiento externo generalmente que se conectan a la PCR a través de un cable USB o SATA que funcionan de igual forma que un disco duro. l. Mousepad o PAD: Paño para deslizar el mouse adecuadamente. m. Periféricos: Dispositivos o equipos informáticos de conexión externa a la CPU. (Por ejemplo parlantes, micrófonos, head set, impresoras, scanners, monitores, etc.). n. Puerto: es un medio que permite la conexión de periféricos con el CPU. También se le conoce como una vía de acceso/salida de información. o. Protector de Pantalla: Programa de protección de ingreso a la PC que se activa automáticamente cuando el computador no está siendo utilizado, por un lapso determinado de tiempo. p. Red de Datos: Conjunto de Computadoras, conectadas por un medio físico y que ejecutan un software especializado, que permite a las computadoras comunicarse y transmitir datos de unas a otras. q. Sistema operativo: Programa principal que permite el acceso al equipo (PC). r. USB: (Universal Serial Bus) puerto que permite la conexión de varios dispositivos con el CPU a través de una vía común.
Página 3 de 9 5.1. CONDICIONES DE LA SEGURIDAD Las computadoras personales, periféricos y software son de uso exclusivo del personal de PCR para el desarrollo de funciones y responsabilidades establecidas por y para la Empresa. La manera de encender/apagar las PC s, así como su configuración estará a disposición de los usuarios a fin de evitar daños en el equipo. A efecto de evitar el deterioro de los equipos de cómputo, el usuario deberá tener en consideración las reglas básicas de su cuidado, las que se indican a continuación: a. No ingerir, ni dejar alimentos y/o bebidas cerca y/o encima de los equipos. b. No fumar ni ubicar ceniceros cerca y/o encima de los equipos. c. Facilitar la ventilación del equipo, no colocar papeles u otros objetos cerca a las ranuras de ventilación del equipo. d. No colocar objetos pesados, encima de la unidad central de proceso (CPU), a fin de evitar su deterioro o maltrato. e. Mantener alejados de la CPU, monitor, (pantalla) y disquetes todo elemento electromagnético como imanes, teléfonos, radios, etc. f. No colocar la Unidad Central de Proceso (CPU), en el piso o lugares inestables y/o expuestos a ser golpeados involuntariamente. g. No trasladar ni mover los equipos y/o periféricos de un lugar a otro. En caso de ser necesario el traslado, se deberá contar con la autorización del área de Sistemas quién brindará el apoyo necesario. Cuando se produzca la salida, como al retorno del equipo, el área de Sistemas será el responsable de la supervisión y evaluación del estado del equipo. h. No destapar los equipos de cómputo. En caso de ser necesario, se debe de comunicar, según corresponda al personal autorizado al Área de Sistemas, para que efectúe dicha labor. i. Conservar limpio el teclado, monitor, mediante limpieza externa, así como el mouse por fuera y por dentro, utilizar el mouse sobre un mousepad y verificar que la superficie este siempre limpia. j. Conservar los cables en buen estado, ordenados y correctamente conectados; no debe de existir ningún tipo de tensión, evitando el doblado de los mismos. k. No maltratar los teclados, humedecerlos y/o punzarlos. l. No colocar la punta de los lapiceros u objetos metálicos en el vidrio del monitor para señalar la pantalla, en los paneles de las impresoras. m. Ubicar y mantener el equipo alejado del polvo y la luz solar directa. n. Utilizar las fundas de protección después de haber apagado el equipo en caso de contar con ellas. o. No conectar ventiladores, lustradoras, calefactores u otros aparatos con motor eléctrico en la misma línea de alimentación de los equipos de cómputo. p. Se debe de apagar todos los equipos al retirarse del centro de trabajo, incluyendo monitores. Los únicos periféricos en Perú, Ecuador que quedan encendidos son las impresoras. 5.2. DE LA PROBLEMÁTICA En caso que el usuario detecte alguna anomalía o problema en la computadora que le fue asignada, deberá informar inmediatamente, según corresponda al personal autorizado del área de Sistemas indicando la falla del mismo para su solución
Página 4 de 9 Una vez indicado el problema el área de Sistemas deberá registrar el problema en el sistema de Helpdesk para su seguimiento y se proporcionará al usuario un número de registro indicando prioridad de resolución y tiempo de atención Una vez resuelto el problema deberá registrarse la solución el tiempo de resolución y se enviará al usuario un documento de aceptación de solución con fines registro y estadísticos de problemas para un estudio posterior. 5.3. DE LA IMPLANTACIÓN DE DIRECTIVA El Jefe de Sistemas velará para que la presente norma sea implantada en el ámbito de su competencia, informando a la Dirección General a través de los canales correspondientes, el avance o incidencias que presenten durante o después de la aplicación de dicha norma. El área de sistemas y los coordinadores de Seguridad de la Información de cada oficina, deben velar porque las Computadoras personales y periféricos asignados a su personal, estén debidamente inventariados y en buenas condiciones tal como fueron asignadas ya que son enteramente responsables por la integridad de los mismos. 5.4. DE LA PRIVACIDAD Y CONFIDENCIALIDAD DE LA INFORMACIÓN Los usuarios deben acceder solamente a información a la que estén debidamente autorizados. Queda prohibido la extracción de información fuera de la empresa, sea vía email o periférico de salida. 5.5. DEL SOPORTE A USUARIOS Toda PC de la red de PCR cuenta un programa de acceso remoto llamado Teamviewer. Es responsabilidad del usuario verificar que dicho programa se encuentre permanentemente activado. Por nada deberá ser deshabilitado. De no tener este programa activado, el área de sistemas no podrá brindar soporte remoto. Cada oficina de PCR debe de contar con un técnico de confianza el cual será llamado para solucionar algún problema que vía conexión remota no se pueda realizar. Cualquier pedido adicional por parte del usuario deberá de ser comunicado al Gerente País para que luego de la aprobación sea derivada al área de sistemas. 6.1. ALTAS Y BAJAS DE USUARIOS 6.1.1. Alta de usuarios El Gerente País deberá comunicar al área de sistemas el ingreso del nuevo personal, haciendo llegar los datos según el formato ALTA DE USUARIOS.PDF como mínimo una semana antes del ingreso. Al ingresar un empleado se deberá realizar la entrega de la estación de trabajo, teléfono, usuario de red, y las claves respectivas, en un documento de ingreso el cual deben firmar el usuario y la persona que realiza la entrega de puesto de trabajo. Será el área de sistema la encargada de realizar la respectiva alta del usuario dando todos los accesos solicitados (Estación de trabajo, correo, etc.) según lo detalla el procedimiento de altas y bajas de usuarios. 6.1.2. Baja de usuarios El Gerente País deberá comunicar al área de sistemas la salida del personal, inmediatamente se acepte la renuncia, la cual deberá ser comunicada mediante el formato BAJA DE USAURIOS.PDF. Al salir del empleado deberá firmarse un documento con la entrega total de los equipos de cómputo, teléfono, usuarios y contraseñas de acceso y debe ser verificado con el documento firmado al ingreso del empleado para verificar los datos de los equipos entregados.
Página 5 de 9 Será el área de sistemas la encargada de realizar la baja del usuario solicitado, verificando que no quede dato alguno ya sea en la web como en la red del usuario de salida, según lo detalla el procedimiento de altas y bajas de usuarios. Dependiendo del puesto que ocupa (indicada línea abajo), deberá de consultar con el usuario a quien se le derivan los correos con el fin de verificar si aún el buzón sigue recibiendo correos relevantes; en caso de no ser así, proceder a dar de baja al buzón y a la cuenta de usuario. El buzón de correo pasará a modo pasivo y se lo mantendrá por: Gerentes/Jefes 3 meses Asistentes administrativas: 2 meses Analistas Senior: 2 meses Analistas: 1 mes 6.2. DEL ENCENDIDO Y APAGADO DE EQUIPOS Antes de encender y utilizar el equipo verificar que todos los cables y periféricos se encuentren debidamente conectados a la corriente eléctrica (en el tomacorriente de uso exclusivo), al CPU, y/o de ser el caso, a la red de datos. La secuencia de Encendido de los equipos es: primero el CPU, el monitor y luego los periféricos. La secuencia de Apagado de los equipos es primero el monitor y luego el CPU en caso de que contenga una fuente no/switching (saliendo antes, correctamente de Sistema Operativo) al final los periféricos. Asegúrese antes de retirarse, que todos los periféricos (Monitor, Impresora, etc...) conectados al equipo se encuentren apagados. No debe apagar el CPU, mientras se encuentre procesando Información ó ejecutando algún programa. 6.3. DE LA SEGURIDAD DE LA INFORMACIÓN 6.3.1. DEL ALMACENAMIENTO DE LA INFORMACIÓN Para el Almacenamiento de la información en el disco duro, es importante contar con la disposición de directorios o carpetas en forma ordenada, para lo cual dentro de la carpeta MIS DOCUMENTOS, se debe crear un directorio o carpeta, que sea el que guarde toda la información generada por el usuario. Es importante que el usuario respete la estructura de los directorios de trabajo para facilitar la labor de copias de respaldo que debe realizar periódicamente la oficina de sistemas. No se deberá grabar información en el escritorio u en otro directorio distinto al indicado. 6.3.2. DE LAS COPIAS DE RESPALDO La obtención de las copias de respaldo (backup) de la PC, debe tener una periodicidad de acuerdo a la programación del programa de respaldos automáticos MySecureBackup, según la importancia de la información a respaldar, esta puede ser realizada en forma: diaria, semanal, mensual, y anual según estime conveniente el gerente de país en coordinación con el personal del área de sistemas. a. Usuarios: Toda información se debe guardar en la unidad de red, el cual se direcciona al servidor de fileserver para Perú y en Informes PCR para Ecuador.
Página 6 de 9 La información guardada en MIS DOCUMENTOS se respaldará automáticamente con el programa MySecureBackup b. Servidores: El servidor PE04UP que almacena todos los pst e información de los usuarios que ya no laboran en PCR deberá ser respaldado una vez por mes. El servidor de fileserver e Informes PCR genera Backup automático de toda la información de los usuarios se ha sido colgada en la red. 6.3.3. DE LA SEGURIDAD Y CONTROL DE ACCESO Al ingresar a laborar se le hará llegar en un sobre cerrado y/o vía email su contraseña de acceso a la red y correo, datos que deberá cambiar en su primer ingreso a la red y al correo. Para cambiar la clave de la red deberá presionar en forma conjunto CONTROL ALT SUPRIMIR Para cambiar la clave de correo deberá ingresar por un navegador de internet y acceder a la url: https://webmail.ratingspcr.com o https://webmail.emailsrvr.com para el caso de usuarios no gerenciales y a la url: https://mex06.emailsrvr.com para usuarios gerenciales Todo usuario registrado será responsable de proteger su clave de cualquier acceso no autorizado. Esta clave deberá ser modificada cada 90 días por seguridad de la información. Cualquier acceso no autorizado a un nombre de usuario será inmediatamente comunicado por el usuario afectado al área de sistemas en cuyo caso deberá proceder a cambiar sus contraseñas de forma inmediata. Todo usuario respetará la naturaleza confidencial del acceso de un usuario o cualquier otra información que pueda caer en su poder, bien como parte de su trabajo o por accidente. Toda responsabilidad derivada del uso de un nombre de usuario distinto al propio recaerá sobre aquel usuario al que corresponda el nombre indebidamente utilizado. Todo equipo de Cómputo o PC, debe tener instalado y hacer uso de las claves de Acceso, en las siguientes situaciones: Inicio de Sesión de equipo Fondo de pantalla Conexión de red Correo electrónico Aplicativo de la Empresa Protector de Pantalla computadora no está en uso. y debe activarse a los 3 minutos de que la El Usuario, no debe: Compartir los recursos de la computadora, tales como: carpetas y/o impresoras. En caso sea necesario compartir algún recurso, el usuario deberá de buscar la aprobación del gerente de su país y luego realizar la solicitud al área de sistemas. Cambiar y/o modificar la dirección IP asignada. Agregar o eliminar protocolos de comunicaciones de red. Modificar el nombre de la computadora que le fue asignada. Modificar el nombre del grupo de trabajo o dominio de la computadora que le fue asignada.
Página 7 de 9 Abrir correos electrónicos de dudosa procedencia, si recibe uno de estos correos comunicar en forma inmediata al personal del área de sistemas, mediante el envío de un correo, por teléfono o personalmente. Evitar el uso de medios de almacenamiento externos (Disquete, USB y CD) de procedencia externa de la empresa. De necesitar el uso de uno de estos medios se debe coordinar con el área de sistemas para el respectivo análisis de virus. 7. USO DE LA ESTACIÓN DE TRABAJO Considerando que el computador personal asignado a un trabajador, forma parte del Activo de la Empresa, debe ser empleado exclusivamente como herramienta, para el cumplimiento de las funciones asignadas al trabajador. Todo trabajador que haga uso de una estación de trabajo PC, debe conectarse a la red con el usuario de red correspondiente, asignado por la Oficina de Sistemas. La creación o eliminación de un usuario de red debe ser solicitada oportunamente por el Jefe Inmediato de forma escrita o por correo electrónico, a través del ALTA DE USUARIO, dirigida al Jefe de Sistemas. Toda actividad u operación de un usuario que pueda generar algún problema en la red, será de responsabilidad exclusiva del propietario de la cuenta de la red. Por lo tanto cada trabajador que opere un computador, debe hacerlo con su propio usuario de red. Está prohibido lo siguiente: Instalar Software pirata Instalar Software sin licencia o Crackeado Instalar Chat (MSN Messenger, ICQ, Yahoo Messenger, etc.) Instalar Protectores de pantalla con video o conexión a Internet. Instalar Juegos. Instalar programas multimedia no autorizados para escuchar música o ver vídeos Copiar Archivos de música de cualquier extensión. Los programas agentes instalados en las estaciones (PC) por la Unidad de Soporte Informático de la Oficina de Sistemas, para una mejor administración de la Red no deben ser desinstalados. No debe manipularse o modificarse la configuración de red de cada computador. La clave (password) solo debe ser conocida por el propietario del usuario de red. 8. USO DEL SERVICIO DE CORREO ELECTRÓNICO El servicio de correo electrónico es para uso exclusivo de envío y recepción de información concernientes a las funciones que el trabajador cumple para la empresa. Por lo tanto, esta información forma parte del activo de la empresa. Las consecuencias posibles, ocasionadas por el contenido de un correo son de responsabilidad exclusiva del propietario de la cuenta de correo. Dar aviso al área de sistemas de cualquier fallo de seguridad de su cuenta de correo, incluyendo su uso no autorizado, pérdida de la contraseña o de información, etc. La cuenta de correo o buzón electrónico asignado a un usuario, tendrá una capacidad de (Usuarios 25 GB, Gerentes y jefes 25 GB, Presidente 900 GB). Los límites de tamaño de correos entrantes y salientes es: 25MB. Los usuarios deben depurar permanentemente sus buzones de correo o respaldar en el disco duro del computador personal los correos que sean importantes, también mantener siempre limpia las bandejas de Correo no deseados y Elementos Eliminados y marcar como spam o no deseado todo correo de publicidad o de dudosa procedencia.
Página 8 de 9 En caso de estar fuera de oficina y desee acceder a su correo podrá realizarlo a través de un navegador de internet utilizado las urls: https://webmail.ratingspcr.com o https://webmail.emailsrvr.com para usuarios no gerenciales y la url: https://mex06.emailsrvr.com para usuarios gerenciales. Actividades prohibidas en el uso del correo: Utilizar el correo electrónico para propósitos comerciales ajenos a la institución. No cambiar la contraseña de correo cada 90 días por seguridad de la información Enviar correos con datos adjuntos superiores a 5MB. Para poder hacerlo deberán guiarse del Procedimiento de Transferencia de archivos pesados. Participar en la propagación de cartas en cadenas. Distribuir mensajes que afecten la imagen y reputación de PCR. Enviar o reenviar mensajes con contenido difamatorio, ofensivo, racista u obsceno. Distribuir de forma masiva grandes cantidades de emails que atenten con el buen funcionamiento de los servicios en Internet. Copiar ilegalmente o reenviar mensajes sin tener la autorización del remitente original para hacerlo. Usar seudónimos y enviar mensajes anónimos. Utilizar mecanismos o programas que permitan ocultar o suplantar la identidad del emisor de correo. Enviar correos SPAM de cualquier índole. Se consideran correos SPAM aquellos no relacionados con las funciones específicas a los procesos de trabajo. Registrarse en comunidades, grupos o redes sociales. Está totalmente prohibido el configurar la cuenta de correo en equipos no autorizados por PCR como teléfonos celulares y tabletas a menos que la gerencia del país lo autorice por escrito o por correo electrónico indicando ello al Jefe de Sistemas. Es prohibido el acceso a las URLs de correo desde un cybercafe o cafenet. La creación, modificación y eliminación de una cuenta de correo debe ser solicitada de manera oportuna por Gerentes y/o Jefes de manera escrita o por correo electrónico mediante el Formato de Registro y Autorización de Datos de usuario. 9. USO DEL SERVICIO DE INTERNET El uso de este servicio es sólo con fines laborales. Queda prohibido descargar software, herramientas, fotos, juegos, etc. por seguridad y rendimiento del tráfico de la red. Queda prohibido congestionar el tráfico de internet navegando por páginas que reproduzcan video y audio. Queda prohibida la navegación por páginas no laborales, tal es el caso como: Correos personales, redes sociales, chats vía web, páginas con contenido obsceno, etc. Se restringirá automáticamente el acceso a Internet a los Usuarios que naveguen en páginas NO PRODUCTIVAS (Páginas de Adultos, Chat, etc.). El área de Sistemas, informará a la Dirección General de manera escrita o por correo electrónico al respecto. 10. USO DEL SERVICIO TELEFÓNICO El código para realizar llamadas es personal e intransferible y queda bajo responsabilidad de cada usuario su confidencialidad.
Página 9 de 9 El código para realizar llamadas es personal e intransferible y queda bajo responsabilidad de cada usuario su confidencialidad. Sólo están permitidas realizar llamadas para tratar temas laborales (Clientes, proveedores). En caso se requiera hacer una llamada personal, deberá de solicitarse a su jefe inmediato. En caso de ser concedido el permiso, la llamada no debe de superar el minuto. Las llamadas a otras oficinas de PCR deben realizarse vía Skype, en caso de no poder llevarse a cabo por este medio, cómo última opción es el uso del teléfono. En caso realicen llamadas personales serán bloqueados los destinos. Revisar diariamente el buzón de voz de su anexo.