DIRECTIVA Nº 04-2009-MTC/21 USO DE LOS RECURSOS INFORMÁTICOS EN PROVÍAS DESCENTRALIZADO I. OBJETIVO Establecer disposiciones específicas que normen el uso de los recursos y servicios tecnológicos en el Proyecto Especial de Infraestructura de Transporte Descentralizado Provías Descentralizado. II. III. IV. FINALIDAD - Lograr un uso adecuado de los recursos informáticas - Facilitar los procedimientos y asignación de responsabilidades para la ejecución de las actividades asociadas tecnología de información y comunicaciones (TIC s). - Normar aspectos referidos a la utilización de los servicios de red de Provías Descentralizado, orientado a garantizar la seguridad de la información. ALCANCE La presente Directiva es de aplicación obligatoria para todos los usuarios de la Sede Central y Oficinas de Coordinación del Proyecto Especial de Infraestructura de Transporte Descentralizado Provías Descentralizado. BASE LEGAL - Ley Nº 27444, Ley del Procedimiento Administrativo General. - La PCM mediante RM Nº 224-2004-PCM del 23 de Julio de 2004, aprobó el uso obligatorio de la Norma Técnica Peruana NTP-ISO/IEC 17799:2004 EDI. Código de buenas prácticas para la gestión de la seguridad de la información 1ª Edición - Decreto Supremo Nº 029-2006-MTC que fusiona a las Unidades Ejecutoras Provias Departamental y Provias Rural, dándose como resultado de la fusión la nueva Unidad Ejecutora denominada Proyecto Especial de Infraestructura de Transporte Descentralizado Provías Descentralizado. V. NORMAS GENERALES 1. La Unidad de Sistemas e información es la responsable de la administración de los recursos informáticos de Provías Descentralizado. 2. La Unidad de Sistemas es la encargada de implementar y mantener operativo la red de datos y comunicaciones de la institución. 3. La Unidad de Sistemas brindará capacitación, mantenimiento y apoyo en el uso de los recursos informáticos de la institución. 4. La Unidad de Sistemas es la encargada de evaluar las necesidades de recursos informáticos de la institución así como proponer su adquisición respectiva. 5. Solo el personal activo de la Institución podrá utilizar los recursos informáticos disponibles. Para casos de proveedores de servicios por otra modalidad se ofrecerá los recursos que contractualmente señale el contrato. 6. La Unidad de Sistemas es la encargada de administrar la seguridad de los sistemas de Información. 7. El cumplimiento del presente reglamento es de carácter obligatorio para todos los trabajadores de Provías Descentralizado. El desconocimiento del mismo no exonera de las responsabilidades y sanciones del caso. Provias Descentralizado Ministerio de Transportes y Comunicaciones 1
VI. NORMAS ESPECÍFICAS 1. Del Uso y cuidado de los Equipos de Cómputo. 1.1. Los equipos de cómputo son exclusivamente para uso Institucional. 1.2. Los usuarios son responsables del adecuado uso y seguridad de los equipos y componentes que le han asignado. 1.3. Los usuarios no deberán realizar ningún tipo de instalación de software a los equipos asignados, ni a ningún otro equipo de la Institución. Caso contrario estarán sujetos a las sanciones que corresponda. 1.4. Esta totalmente prohibido el intercambio de equipos o componentes entre usuarios. Estas acciones están a cargo de Sistemas en coordinación con Patrimonio. 1.5. Esta totalmente prohibido que el usuario, bajo cualquier circunstancia; manipule la parte interna de los equipos. 1.6. Esta totalmente prohibido el consumo de cualquier alimento (comidas, bebidas y otras) cercano a los equipos o componentes de cómputo, para evitar daños. 1.7. Verificar que el papel reciclado para un segundo uso como borrador a ser utilizado, no contenga grapas o clips que genere la ruptura de piezas internas en las impresoras. 1.8. Al existir un problema de atasco de papel no se deberá forzar ni jalar el papel, y se procederá a solicitar el apoyo del personal de la Unidad de Sistemas. 1.9. El usuario puede hacer limpieza externa de sus equipos para evitar acumulación de polvos, sin utilizar líquidos. 2. Del Servicio de Asistencia Técnica 2.1. La atención de servicios al usuario por mantenimiento ó apoyo técnico de equipos, se hará siguiendo los procedimientos establecidos para este fin. 2.2. Para el personal nuevo, la asignación de servicios disponibles; debe ser requerido al Jefe de la Unidad de Sistemas por el Jefe inmediato del usuario previa autorización de su Gerente. Este requerimiento puede hacerse por correo, se verificará la incorporación del usuario para proceder a habilitar los accesos. 2.3. Los accesos del servicio a la red disponible son: - Acceso al SIGAT (deberán precisar el módulo de accesos) - Accesos a Intranet (Boletas de permiso, información gerencial, rendición, etc.) - Accesos a Extranet (Solicitud y rendición de Gobiernos Regionales, etc.) - Acceso a Internet - Acceso al correo electrónico institucional - Acceso al servidor de archivos, por cada trabajador. 2.4. En caso el usuario detecte alguna anomalía o problema en su computadora, deberá informar inmediatamente al personal de soporte técnico de la Unidad de Sistemas para su atención. 3. Del Mantenimiento de Equipos Informáticos 3.1. El personal soporte Técnico de la Unidad de Sistemas son los encargados de realizar el mantenimiento preventivo, detectivo y correctivo de los equipos de cómputo. 3.2. La Unidad de Sistemas coordinará el mantenimiento preventivo de las computadoras personales e impresoras de todos los usuarios de la institución al menos una vez por año y se realiza de acuerdo a un cronograma de Mantenimiento que se dará a conocer a todas las Gerencias de la Institución. 3.3. Cuando sea necesario el cambio de partes en el equipo del usuario y no se cuente con stock de repuestos en el almacén, la Jefatura de la Unidad de Sistemas emitirá una solicitud de requerimiento con las especificaciones técnicas a la Gerencia de Administración, para el trámite de compra respectivo. Provias Descentralizado Ministerio de Transportes y Comunicaciones 2
3.4. El usuario debe poner a disposición el equipo para realizar el mantenimiento periódico de acuerdo al cronograma establecido con anterioridad, tomando sus previsiones. 3.5. Como medida de seguridad, se ha dispuesto un servidor en la red, exclusivamente con carpetas personales para los archivos de trabajo que realiza el usuario, estos archivos son respaldados periódicamente en la red. Sin embargo los archivos almacenados en la PC no se realiza backup. 3.6. El usuario deberá trabajar toda su información institucional en la carpeta personal creado en el servidor de archivos. Coordinar con soporte técnico este acceso. 3.7. Se recomienda que el usuario realice mensualmente una depuración de los archivos de su correo, eliminando aquellos que tienen el estado de eliminados y los que no son de su interés. Estos archivos de correo se encuentran en su PC. 3.8. Se recomienda que el usuario realice un backup de su archivo de correo mensualmente, de ser necesario solicitar apoyo de soporte técnico. 3.9. Está terminantemente prohibido que el personal técnico, realice mantenimiento a equipos que no pertenezcan a la institución. 3.10. La reparación y/o mantenimiento de un equipo informático, se realizará siempre y cuando no se encuentre cubierto por el periodo de garantía. 4. Del uso y propiedad de los recursos de TI 4.1. Los productos de SW (códigos fuentes) que desarrolle un personal interno bajo la modalidad de contratación CAS, CAP u otros, serán propiedad de Provías Descentralizado, y no podrán ser extraído de la Institución para ser usado totalmente ni en forma parcial en otras entidades sin la autorización de Provias descentralizado. 4.2. Los equipos de cómputo, documentos y programas que se asigne al usuario para el cumplimiento de su actividad solo podrán ser utilizados en el marco de las funciones asignadas. 4.3. La información, dato, documento escrito, programa, u otro material informático que sea creado como parte de sus actividades será de propiedad de la institución. 4.4. Esta totalmente prohibido extraer documentación o información, sea en medios físico o electrónico; de la Institución para fines ajenos a las funciones como personal de Provías Descentralizado. 4.5. Esta prohibido el uso de los equipos de cómputo de Provías Descentralizado para propósitos personales de toda índole que sean ajenos a las funciones de la institución. 4.6. Se prohíbe modificar la configuración de los equipos de cómputo que permita accesos no autorizados a la red institucional o para modificar accesos telefónicos para realizar llamadas no autorizadas. 4.7. La Unidad de Sistemas se encargará de la ejecución diaria de copias de respaldo en medios magnéticos de información (datos, archivos, programas y documentos) que se encuentra almacenada en los servidores, adicionalmente gestionará el almacenamiento y custodia de las cintas de respaldo en un lugar físico externo a la Institución. 4.8. La Unidad de Personal será responsable de informar a la Unidad de Sistemas sobre las altas o bajas del personal contratado bajo cualquier modalidad, que nos permita mantener actualizado los accesos de usuarios a los servicios informáticos. 4.9. Los usuarios son responsables de las actividades que realicen con sus accesos en los servicios informáticos. 4.10. La clave de acceso (contraseña o password) es confidencial y personal, por lo que esta prohibido ceder su clave a otro usuario. 4.11. Se recomienda el cambio de su clave máximo trimestralmente o en el momento que tenga indicios que su clave es conocida por otro usuario. Provias Descentralizado Ministerio de Transportes y Comunicaciones 3
5. Del Uso del Servicio de Internet 5.1. El uso que los usuarios darán a las páginas autorizadas de Internet, será exclusivamente para las actividades institucionales. Las páginas autorizadas son aquellas que el Gerente autoriza al usuario por ser de necesidad para el cumplimiento de sus funciones. 5.2. La Unidad de Sistemas, hará un monitoreo de los accesos que los usuarios realicen a la página Web. De encontrar accesos no permitidos, se emitirá un informe a su Gerencia respectiva. 5.3. Queda terminantemente prohibido el acceso a páginas que atenten contra la moral y las buenas costumbres, o que no tengan ninguna relación con las actividades de nuestra Institución. 5.4. Se recomienda no descargar los archivos de Internet bajo responsabilidad. Para el caso de archivos de páginas conocidas el usuario debe asegurarse que no contenga virus, para ello puede descargarlo sobre su USB y pasarlo el Antivirus. 5.5. Si algún usuario, por razones laborales, requiere alguno de los servicios restringidos, esto deberá ser solicitado a través de su Gerencia correspondiente, quien cursará la solicitud respectiva con la debida justificación a la Gerencia de Administración para su evaluación y aprobación. 6. Del Correo Electrónico 6.1. El servicio de correo electrónico es para uso exclusivo de envío y recepción de información relativa a las funciones del usuario en la institución. 6.2. Los usuarios son responsables de todas las actividades realizadas con sus cuentas de acceso a la red y buzón de correo proporcionados por nuestra Institución. Si un usuario deja su cuenta de correo abierta en un lugar público es responsable de todo aquello que pueda hacerse desde dicha cuenta. 6.3. El nombre de la cuenta de correo electrónico para cada usuario sigue el siguiente estándar: XYZAAAAA, donde X es primera letra del primer nombre y A es el apellido paterno completo. En caso que existiera coincidencia; se adicionará Y representa la primera letra del segundo nombre, si persiste la igualdad se adicionará Z que representa la primera letra del segundo apellido. 6.4. La cuenta de correo electrónico es de uso exclusivo del usuario asignado por tanto bajo ninguna circunstancia este podrá usar la cuenta de otro usuario así como tampoco debe dar a conocer a otro usuario. 6.5. El acceso al correo institucional fuera de la entidad es proporcionado a través del portal web de Provías Descentralizado usando su clave personal. 6.6. Debido a la posible saturación de la red, la Unidad de Sistemas limitará el tamaño del archivo que se envía o recibe por correo a 1 MGB máximo. Para casos de archivos mayores a lo indicado coordinar con la Unidad de Sistemas. 6.7. El caso de recibir correos electrónicos de procedencia dudosa, el usuario deberá eliminar el correo e informar a la Unidad de Sistemas en forma inmediata. 6.8. Los correos estarán disponibles en la red para al usuario, hasta que lo descargue automáticamente (Outlook) a su PC. El tiempo máximo que permanecerá un correo en el servidor que no ha sido descargado a su PC es de 1 mes. 6.9. El usuario deberá dar un mantenimiento periódico a su buzón de correo (bandeja de entrada y enviados). Deberá eliminar permanentemente los correos del buzón eliminados, así mismo eliminar los correos particulares y los que no sean trascendentes. Las carpetas del correo que se descarga automáticamente se almacena en el disco duro de la computadora asignada a cada usuario. Provias Descentralizado Ministerio de Transportes y Comunicaciones 4
6.10. El uso del correo electrónico es solo para fines laborales. Esta totalmente prohibido su utilización para envío de cadenas de correo, spams, archivos de entretenimiento, mp3, videos mpg, imágenes. Y peor aún para enviar mensajes, archivos o información que atenten contra la institución. 7. Del Servicio de Telefonía 7.1. El uso del Servicio de Telefonía es exclusivamente para las actividades vinculadas a la gestión institucional de Provías Descentralizado, siendo un servicio de carácter restringido. 7.2. La Unidad de Sistemas proporcionará una clave personal de llamadas a cada usuario en el momento de ingresar a la Institución. Los niveles de acceso son los siguientes: - Anexo - Llamada Local - Llamada Local, Nacional - Llamada Local, Nacional, Celular 7.3. Los usuarios son responsables de las llamadas que se efectúen con su clave personal de llamadas y no la deberán compartir bajo ningún motivo. 7.4. Es responsabilidad de la Unidad de Sistemas emitir los reportes de consumo del Servicio de Telefonía a fin de que se pueda evaluar el correcto uso del servicio. 8. De la Instalación de los programas de software base 8.1. La Unidad de Sistemas es responsable de la instalación y/o desinstalación del software en la institución. Prohibiéndose esta acción a los demás usuarios. 8.2. Esta totalmente prohibido utilizar e instalar programas o recursos que no tengan una licencia respectiva a nombre de la Institución. Cualquier solicitud de instalación deberá ser sustentada. 8.3. Los usuarios deben tener instalado en sus computadoras sólo los programas de software base y/o sistemas autorizados por la Unidad de Sistemas. 9. Del Desarrollo de Software 9.1. Es función de la Unidad de Sistemas el desarrollo de sistemas alineado a los procesos y objetivos de Provías Descentralizado. Todas las Unidades Gerenciales que requieran desarrollo de nuevas aplicaciones, deben solicitarlo formalmente a la Unidad Gerencial de Administración. Su atención será según la priorización del caso. 9.2. Es función de la Unidad de Sistemas mantener actualizado la operatividad de las aplicaciones operativas. Todas las Unidades Gerenciales y/o Unidades de Provías Descentralizado que requieran modificación o adecuaciones de los aplicativos, deben solicitarlo directamente a la Unidad de Sistemas, quien evaluará el impacto que esto genere sobre el sistema integrado. Su atención pasa por una evaluación previa. 9.3. En el caso de que el desarrollo de aplicaciones sea contratado como un servicio de terceros, será supervisado por la Unidad de Sistemas e Información, quien elaborará las especificaciones técnicas y posteriormente la Conformidad Técnica del servicio contratado. 9.4. Esta totalmente prohibido y bajo ninguna circunstancia el personal técnico de desarrollo debe tener acceso a la Base de Datos de Producción. El mantenimiento o desarrollo de sistemas debe hacerse en un ambiente tecnológico distinto al ambiente que opera producción. 9.5. Todos los aplicativos que se encuentren en producción, deben contar con sus respectivos niveles de accesos y la posibilidad de cambiar sus claves periódicamente. Provias Descentralizado Ministerio de Transportes y Comunicaciones 5
9.6. Para efecto de actualización de programas en producción (pase a producción), se hará siguiendo los procedimientos establecidos para este fin. 9.7. El personal de desarrollo y actualizaciones debe documentar los cambios en el mismo programa (modificación) y adicionalmente registrando en el inventario de cambios. 10. De la Adquisición de Equipamiento Informático 10.1. Es función de la Unidad de Sistemas e Información la elaboración de las especificaciones técnicas para la adquisición de todo el equipamiento informático y tecnologías de información a adquirirse en Provías Descentralizado. Todas las Unidades Gerenciales y/o Unidades de Provías Descentralizado que requieran la adquisición de equipos deberán solicitarlo formalmente a la Unidad Gerencial de Administración, independientemente de la modalidad de financiamiento. 10.2. Es responsabilidad de la Unidad de Sistemas emitir la Conformidad Técnica por la adquisición de recursos bienes y/o servicios de tipo tecnologías. 11. De la Privacidad y Confidencialidad de la Información 11.1. Todos los usuarios de Provías Descentralizado accederán únicamente a la información a la que estén debidamente autorizados. 11.2. Los usuarios deberán de mantener confidencialidad de la información que creen y/o almacenen, utilizando el equipo informático solamente para propósitos institucionales. 11.3. Se recomienda al área legal, considerar en los contratos una cláusula sobre confidencialidad de la información que reciba el personal contratado. 12. De la Seguridad y Control de Acceso a los Equipos 12.1. El usuario deberá apagar su computadora personal asignada, al retirarse del centro de trabajo o cuando el computador no sea utilizado en un tiempo prolongado como es el caso del horario de refrigerio. 12.2. Las claves de acceso o password para el acceso a la red, son de uso personal, confidencial e intransferible. Su composición debe ser mínimo de ocho caracteres compuesto. Deberá tener en su conformación al menos un carácter numérico, o un carácter alfanumérico. Se recomienda cambiarlo máximo trimestralmente. No deberán utilizar palabras o nombres conocidos, como por ejemplo personajes de ficción, miembros de familia, mascotas, marcas, lugares, etc. 12.3. Evitar el uso de discos compactos o memorias USB de procedencia externa a la Institución, en caso de ser necesario, se deberá ejecutar previamente el antivirus respectivo e informar a la Unidad de Informática la existencia de archivos extraños. 12.4. La Unidad de Personal deberá comunicar a la Unidad de Sistemas, con anticipación sobre el goce de vacaciones, licencia, cese o cualquier otra circunstancia que determine la ausencia de un usuario, a fin de que se desactive el respectivo acceso a la red y demás servicios informáticos. 12.5. En caso se requiera acceder a la computadora del usuario ausente, el Gerente o Jefe del área deberá solicitarlo por escrito o vía correo electrónico a la Unidad de Sistemas. 12.6. Los usuarios se encuentran prohibidos de utilizar o permitir que un tercero, haga uso de los equipos que se les ha asignado para fines ajenos al servicio asignado. 12.7. Provías Descentralizado, a través de la Unidad de Sistemas e Información, se reserva el derecho de supervisar que los sistemas de correspondencia electrónica y todos los servicios informáticos, sean utilizados para los propósitos y gestiones relacionadas con las funciones asignadas. Provias Descentralizado Ministerio de Transportes y Comunicaciones 6
13. De la Seguridad de la Información (almacenamiento y respaldo) 13.1. Ningún dispositivo de USB, CD, DVD o medio flexible será utilizado por el responsable de la red, como medio de respaldo de la información. 13.2. La Unidad de Sistemas tiene asignado un directorio personal a cada usuario con su nombre, en el Servidor de Archivos (ejem: ptorres), el cual tendrá un acceso directo en la computadora del usuario a través de la unidad de red X. 13.3. Los usuarios tendrán la obligación, bajo responsabilidad, de grabar toda su información de trabajo en la red: Unidad X del servidor de archivos. El usuario deberá informar a la Unidad de Sistemas, en caso no encuentre su carpeta personal. 13.4. El usuario deberá mantener una estructura de directorios o carpetas en forma ordenada, y no deberá utilizar nombres de directorios ni de archivos muy extensos. Se recomienda como máximo 15 dígitos para las carpetas y 35 dígitos para los archivos. Solo debe utilizar letras y números, como separadores puede incorporar línea (-) o línea abajo (_). 13.5. El uso de nombres de carpeta extensos o nombres de archivos extensos o dígitos distintos a lo indicado puede generar pérdidas de su información. 13.6. La Unidad de Sistemas solo se hará responsable de la información almacenada en el Servidor de Archivos (Unidad X). Las copias de seguridad de este directorio se realizan en forma diaria, almacenándose históricos mensuales. 13.7. El administrador de la red se encargará de realizar la depuración de archivos ajenos a las labores de la entidad (tipo videos, música, fotos, etc.) que se encuentren almacenados en el servidor de archivos. Esta acción es sin previo aviso. 14. De los derechos y responsabilidades de los usuarios 14.1. Los usuarios internos de Provías Descentralizado tienen derecho a utilizar los recursos de la Red con las restricciones indicadas en los apartados anteriores. 14.2. Los usuarios tienen derecho a la privacidad en el servicio de correo electrónico y de la información que almacenen. No obstante, cuando se detecten acciones de los usuarios que pongan en riesgo la seguridad tanto de la red institucional como de cualquier otra red, en los que se comprometa la imagen institucional de Provías Descentralizado, o que vulneren los derechos fundamentales de otros usuarios, la Unidad de Sistemas informará de los hechos a la Unidad Gerencial de Administración, para que tome las medidas que resulten necesarias. 14.3. Los usuarios deben ser respetuosos del trabajo de los demás, absteniéndose de destruir, alterar o corromper información ajena. 14.4. Es responsabilidad del usuario contribuir con la protección de su información, evitando dejar abierto su acceso a la computadora mientras tenga una sesión de trabajo. En este caso lo adecuado es bloquear la pantalla mientras dure su ausencia. 14.5. Esta totalmente prohibido que el usuario borre la información que ha producido como resultado de su trabajo en la institución. La Unidad de Sistemas informará de los hechos a la Unidad Gerencial de Administración, para que tome las medidas que resulten necesarias. 15. Precisiones de las Prohibiciones y Restricciones Queda Prohibido: 15.1. Utilizar los recursos de los equipos de cómputo para beneficios personales. 15.2. Almacenar en los equipos de cómputo información de otro usuario sin el consentimiento expreso del propietario. 15.3. Facilitar el uso de equipos de cómputo a personal ajeno a la institución. Provias Descentralizado Ministerio de Transportes y Comunicaciones 7
15.4. Usar como medio de backup institucional los CDs, DVDs, memorias USB, discos duros externos o PC que están siendo utilizados. 15.5. La manipulación de equipos de comunicación por los usuarios (switchs, ruteadores, antenas, cableados, tarjetas de red inalámbricas, etc.) 15.6. La visita a páginas web con contenido obsceno y almacenaje en los equipos de cómputo de información de este tipo en cualquier formato digital (videos, imágenes, literatura) y toda información que atente contra la moral en perjuicio de terceros. 15.7. Utilizar medios informáticos (hardware y software) a fin de obtener las claves de acceso de otro usuario o recurso que no se le ha dado acceso. De ocurrir estarán sujetos a las sanciones que corresponda. 15.8. Utilizar los servicios de comunicación incluyendo el correo electrónico o cualquier otro recurso para intimidar o insultar o acosar a otras personas, interferir con el trabajo de los demás provocando un ambiente de trabajo no deseable dentro de la institución. 15.9. Utilizar los recursos de la institución para obtener acceso no autorizado a redes y sistemas remotos. 15.10. Hacer uso de su cargo y funciones, para extraer información de la Institución que no se le haya autorizado. 15.11. Provocar deliberadamente el mal funcionamiento de computadoras, estaciones o componentes informáticos de redes y sistemas. 15.12. La suplantación o uso no autorizado de la cuenta de otra persona será considerado como falta grave. 15.13. Decodificar el tráfico en la red o cualquier intento de obtención de información de correo confidencial que se transmita a través de la misma. 15.14. El iniciar o continuar cadenas de mensajes, los cuales aumenten el espacio en los buzones de correo y generen tráfico en la red. 15.15. El uso indiscriminado de llamadas telefónicas a través del uso personal de claves telefónicas, o el uso de claves de otras personas. 15.16. Poner claves a sus archivos de trabajo. 16. De las Sanciones 16.1. La infracción a la presente directiva, será sancionado de acuerdo a las normas establecidas por la Institución y las leyes de la Jurisdicción. VII. VIII. NORMAS COMPLEMENTARIAS La presente Directiva podrán ser modificadas mediante propuesta de la Unidad de Sistemas e Información y aprobada por la Unidad Gerencial de Administración. VIGENCIA Las disposiciones de la presente Directiva entrarán en vigencia a partir del día siguiente en que la Resolución Directoral sea aprobada. Provias Descentralizado Ministerio de Transportes y Comunicaciones 8