Políticas Del Departamento De Informática Con el objetivo de velar por el buen funcionamiento y el optimo desempeño que pued puedan an gene genera rarr los los “Equip “Equipos os y Sistem Sistemas as Informá Informático ticos” s” de la Munic Municip ipal alid idad ad de Carrillo, se trabajara día a día con la implementación e implantación de políticas que definan y marquen las directrices que todos los colaboradores del ente municipal deben seguir, para lograr avanzar juntos en una misma dirección, siempre con el fin de mejorar y sacar adelante sus labores cotidianas en pro de brindar un servicio de calidad a toda la ciudadanía.
Los Los usua usuari rios os son son resp respon onsa sabl bles es de cump cumpli lirr con con toda todas s las las polí políti tica cas s de la Municipalidad de Carrillo relativas a la eguridad !nform"tica y en particular#
Políticas de Seguridad Generales $. Conocer Conocer y aplicar aplicar las políticas y procedimientos procedimientos apropiados apropiados en relación al manejo de la información y de los istemas !nform"ticos.
%. &o divulgar información confidencial de la Compañía a personas personas no autorizadas.
'. &o perm permiti itirr y no faci facilit litar ar el uso uso de los los sist sistem emas as info inform rm"t "tic icos os de la Comp Compañ añía ía a personas no autorizadas.
(. &o se permite la intercone)ió intercone)ión n a la red interna del edificio edificio Municipal Municipal a toda aquella persona persona que no sea funcionario funcionario de la institución. institución. Con la salvedad salvedad de funcionarios funcionarios e)ternos que provengan de !nstituciones *ubernamentales tales como# Contraloría *eneral de la +epublica C*+-, !nstituto de omento y /sesoría Municipal !/M-, entre otros con autorización de la l a /dministración.
1
0. &o
utilizar
los
recursos
inform"ticos
1ard2are,
soft2are
o
datos-
y
de
telecomunicaciones tel3fono, fa)- para otras actividades que no est3n directamente relacionadas con el trabajo en la Municipalidad de Carrillo.
4. 5roteger meticulosamente su contraseña y evitar que sea vista por otros en forma inadvertida.
6. eleccionar una contraseña robusta que no tenga relación obvia con el usuario, sus familiares, el grupo de trabajo, y otras asociaciones parecidas.
7. +eportar inmediatamente a su jefe inmediato y al 8ncargado del 9epartamento de !nform"tica cualquier evento que pueda comprometer la seguridad de la Municipalidad de Carrillo y sus recursos inform"ticos, como por ejemplo contagio de virus, intrusos, modificación o p3rdida de datos y otras actividades poco usuales.
2
Políticas de Seguridad para Computadores y Respaldos de Informacin $. Los computadores de la Municipalidad de Carrillo sólo deben usarse en un ambiente seguro. e considera que un ambiente es seguro cuando se 1an implantado las medidas de control apropiadas para proteger el soft2are, el 1ard2are y los datos. 8sas medidas deben estar acorde a la importancia de los datos y la naturaleza de riesgos previsibles.
%. 8s responsabilidad de los usuarios, velar por el aseo y protección de los equipos de trabajo: esto incluye limpieza de las zonas donde se encuentran instalados los equipos, utilizar medios de protección contra el polvo, agua, incendio, etc.
'. Los equipos de la Municipalidad de Carrillo sólo deben usarse para actividades de trabajo y no para otros fines, tales como juegos y pasatiempos.
(. 9ebe respetarse y no modificar la configuración de 1ard2are y soft2are establecida por el 8ncargado del 9epartamento de !nform"tica
0. Como medida de 1igiene y de seguridad del equipo físico inform"tico ;ard2are-, queda totalmente pro1ibido sin e)cepción alguna el fumar, ingerir bebidas o alimentos mientras se est3n utilizando las estaciones de trabajo, impresoras y cualquier otro equipo que tenga que ver con la infraestructura inform"tica, ya que este tipo de pr"ctica pone en riesgo el buen funcionamiento de los dispositivos.
6.
er" responsabilidad del encargado del equipo de trabajo: el velar por el buen funcionamiento y cuidado del computador: por lo tanto si este ultimo llegase a quebrantar negligentemente la política
mantenga funcionando en su estado normal entre las
acciones est"n# 3
8l reemplazo total o parcial del equipo afectado en un periodo que no sobrepase los '> días: a partir del día en que ocurrido el accidente.
8n caso de perdida de información estrat3gica e indispensable para la 8ntidad Municipal, sobre el encargado del computador recaer"n las medidas de castigo que imponga la /dministración.
6. Cualquier falla en los computadores o en la red debe reportarse inmediatamente al 8ncargado del 9epartamento de !nform"tica ya que podría causar problemas serios como p3rdida de la información o indisponibilidad de los servicios.
7. 9eben protegerse los equipos para disminuir el riesgo de robo, destrucción, y mal uso. Las medidas que se deben de implantar, incluyen el uso de vigilantes y cerradura con llave.
?. Los equipos deben marcarse para su identificación y control de inventario. Los registros de inventario deben mantenerse actualizados.
$>.&o pueden moverse los equipos o reubicarlos sin permiso. 5ara llevar un equipo fuera de la Compañía se requiere una autorización escrita del 8ncargado del 9epartamento de !nform"tica con previa aprobación de l a /dministración.
$$.La p3rdida o robo de cualquier componente de 1ard2are o programa de soft2are debe ser reportada inmediatamente al 8ncargado del 9epartamento de !nform"tica.
$%.5ara prevenir el acceso no autorizado, los usuarios deben usar un sistema de contraseñas robusto y adem"s deben configurar el protector de pantalla para que se active al cabo de $> minutos de inactividad y que requiera una contraseña al reasumir la actividad. /dem"s el usuario debe activar el protector de pantalla manualmente cada vez que se ausente de su oficina.
4
$'.Los datos confidenciales que aparezcan en la pantalla deben protegerse de ser vistos por otras personas mediante disposición apropiada del mobiliario de la oficina y protector de pantalla. Cuando ya no se necesiten o no sean de utilidad, los datos confidenciales se deben ocultar de la pantalla.
$(.9ebe implantarse un sistema de autorización y control de acceso con el fin de restringir la posibilidad de los usuarios para leer, escribir, modificar, crear, o borrar datos importantes. 8stos privilegios deben definirse de una manera consistente con las funciones que desempeña cada usuario.
$0.&o est" permitido llevar al sitio de trabajo computadores port"tiles laptops- y en caso de ser necesario se requiere solicitar la autorización correspondiente.
16. /
menos que se indique lo contrario, los usuarios deben asumir que todo el soft2are
de la Municipalidad de Carrillo est" protegido por derec1os de autor y requiere licencia de uso. 5or tal razón es ilegal y est" terminantemente pro1ibido 1acer copias o usar ese soft2are para fines personales. 8s responsabilidad de cada usuario 1acer entrega de todos los discos referentes a las licencias que posea la estación de trabajo que esta bajo su cargo al 8ncargado del 9epartamento de !nform"tica: en el caso de perdida de los discos por parte del usuario, este ultimo debe de justificar por escrito ante el 8ncargado del 9epartamento de !nform"tica y ante la /dministración bajo que situaciones se genero la perdida. 8stos @ltimos se encargaran de aplicar la sanción correspondiente.
$6.Los usuarios no deben copiar a un medio removible como un disAette, C9B+M, dispositivos de almacenamiento masivo-, el soft2are o los datos residentes en las computadoras de la Municipalidad de Carrillo, para ser trasladados fuera de las instalaciones, sin la aprobación previa del 8ncargado del 9epartamento de !nform"tica. 5
$7.&o pueden e)traerse datos fuera de la sede de la Municipalidad de Carrillo sin la aprobación previa de la /dministración. 8sta política es particularmente pertinente a aquellos que usan a computadoras port"tiles o est"n conectados a redes como !nternet.
$?.9ebe instalarse y activarse una 1erramienta antivirus, la cual debe mantenerse actualizada. i se detecta la presencia de un virus u otro agente potencialmente peligroso, se debe notificar inmediatamente al 8ncargado del 9epartamento de !nform"tica y poner la 5C en cuarentena 1asta que el problema sea resuelto.
%>.9ebe utilizarse un programa antivirus para e)aminar todo soft2are que venga de afuera !nternet- o inclusive de otros departamentos de la Municipalidad de Carrillo.
%$.&o debe utilizarse soft2are bajado de !nternet y en general soft2are que provenga de una fuente no confiable, a menos que se 1aya sido comprobado en forma rigurosa y que est3 aprobado su uso por el 9epartamento de !nform"tica.
%%.5ara prevenir demandas legales o la introducción de virus inform"ticos, se pro1íbe estrictamente la instalación de soft2are no autorizado, incluyendo el que 1aya sido adquirido por el propio usuario. /sí mismo, no se permite el uso de soft2are de distribución gratuita, a menos que 1aya sido previamente aprobado por el 9epartamento de !nform"tica.
%'.&o deben usarse disAettes u otros medios de almacenamiento en cualquier computadora de la Municipalidad de Carrillo a menos que se 1aya previamente verificado que est"n libres de virus u otros agentes dañinos.
%(.5eriódicamente debe 1acerse el respaldo de los datos guardados en 5Cs y servidores y las copias de respaldo deben guardarse en un lugar seguro, a prueba de
6
1urto, incendio e inundaciones. Los programas y datos vitales para la operación de Municipalidad de Carrillo debe guardarse en otra sede, lejos del edificio.
%0.Los usuarios de 5Cs son responsables de proteger los programas y datos contra p3rdida o daño. 5ara sistemas multiusuario y sistemas de comunicaciones, el 8ncargado del 9epartamento de !nform"tica es responsable de 1acer copias de respaldo periódicas. Los gerentes de los distintos departamentos son responsables de definir qu3 información debe respaldarse, así como la frecuencia del respaldo por ejemplo# diario, semanal- y el m3todo de respaldo por ejemplo# incremental, total-.
%4.5or disposición del 8ncargado del 9epartamento de !nform"tica, y pese a la poca confiabilidad de realizar los respaldos del programa !M%$ en disAettes, este ultimo proceder" a realizar los respaldos diarios de la siguiente manera#
§
9ía a día respaldara la información de la carpeta llamada !M%$ Dbicada en el disco 9# del servidor de la entidad Municipal-, en un C9: porque este tipo de dispositivo de almacenamiento proporciona mayor confiabilidad y seguridad de la información contenida en ellos.
%6./l igual que la política anterior: pero con respecto a la aplicación !M/C para uso del 9ep. Contabilidad, inanciero y 5roveeduria-, el 8ncargado del 9epartamento de !nform"tica proceder" a realizar el respaldo diario de la carpeta +85/L9E!M/C Dbicada en el disco 9# del servidor de la entidad Municipal-, en el mismo C9 donde se respalda la información del sistema !M%$, esto siempre y cuando el dispositivo de almacenamiento cuente con la capacidad de almacenar tales datos. 8n el momento en que &o sea factible respaldar la información de los dos sistemas en un mismo C9, se proceder" a resguardar los datos de dic1as aplicaciones en C9Fs separados.
7
%7.Los usuarios deben de vigilar cautelosamente las impresoras, sobre todo si se est" imprimiendo o se va a imprimir- información confidencial de la Municipalidad de Carrillo.
%?.8l personal que utiliza un computador port"til que contenga información confidencial de la Municipalidad de Carrillo, no debe dejarla desatendida, sobre todo cuando est3 de viaje, y adem"s esa información debe estar estrictamente protegida.
8
Políticas de Seguridad para las Comunicaciones Los sistemas de comunicación de la Municipalidad de Carrillo generalmente sólo deben usarse para actividades de trabajo. 8l uso personal en forma ocasional es permisible siempre y cuando consuma una cantidad mínima de tiempo y recursos, y adem"s no interfiera con la productividad del empleado ni con las actividades de la Municipalidad de Carrillo.
$. e pro1íbe el uso de los sistemas de comunicación para actividades comerciales privadas o para propósitos de entretenimiento y diversión.
%. La navegación en !nternet para fines personales no debe 1acerse a e)pensas del tiempo y los recursos de la Municipalidad de Carrillo y en tal sentido deben usarse las 1oras no laborables.
Políticas
de
seguridad
para
redes
8l propósito de esta política es establecer las directrices, los procedimientos y los requisitos para asegurar la protección apropiada de la !nformación concerniente a la Municipalidad de Carrillo: al estar conectada a redes de computadoras.
$. 8s política de la Municipalidad de Carrillo pro1ibir la divulgación, duplicación, modificación, destrucción, p3rdida, mal uso, robo y acceso no autorizado de información propietaria.
2.
Godos los cambios en los servidores y equipos de red de la Municipalidad de Carrillo, incluyendo la instalación del nuevo soft2are, el cambio de direcciones !5, la reconfiguración de routers y s2itc1s, deben ser documentados y debidamente aprobados, e)cepto si se trata de una situación de emergencia. Godo esto es para evitar problemas por cambios apresurados y que puedan causar interrupción de las
9
comunicaciones, caída de la red, denegación de servicio o acceso inadvertido a información confidencial.
10
Cuentas de los !suarios $. Cuando un usuario recibe una nueva cuenta, debe firmar un documento donde declara conocer las políticas y procedimientos de seguridad, y acepta sus responsabilidades con relación al uso de esa cuenta.
%. La solicitud de una nueva cuenta o el cambio de privilegios debe ser 1ec1a por escrito y debe ser debidamente aprobada por el 8ncargado del 9epartamento de !nform"tica.
'. &o debe concederse una cuenta a personas que no sean empleados de la Municipalidad de Carrillo a menos que est3n debidamente autorizados por la /dministración.
4.
8s responsabilidad de cada Hefe de 9epartamento, el emitir la solicitud de creación, actualización o eliminación ya sea temporal o definitiva, por causas como vacaciones, incapacidades, despido, u otra- de una cuenta de usuario en el !M: para cada uno de los dem"s colaboradores del departamento.
5.
Es responsa"ilidad del Encargado #a$ del Departamento de Recursos %umanos de suministrar al Encargado #a$ del Departamento de Informática las respecti&a accin de personal de todo aquel funcionario que posee una cuenta de acceso al SI'( Esto con el o")eti&o de que este ultimo realice las la"ores de mantenimiento al modulo de usuarios del sistema y así mismo ad)unte la respecti&a )ustificacin( (Nueva Política Incorporada el día *+ de no&iem"re del ,--./ se 0i1o el respecti&o conocimiento de la misma al encargado #a$ del Departamento de RR%% por medio del oficio 23 'C4I54--.64,--.$
4. 8s responsabilidad del Hefe de 9epartamento de !nform"tica, el emitir un documento oficial en el cual se estipule e)plícitamente el nivel de acceso al !M especificado.
11
9ic1o documento contara con la firma tanto del Hefe de 9epartamento de !nform"tica como del nuevo usuario de la cuenta.
6. 8n encargado del 9epartamento de !nform"tica es el @nico funcionario de la institución que cuenta con la potestad de la creación, actualización o eliminación de las cuentas de los usuarios del !M.
7. Las personas involucradas en el proceso de activación o desactivación de las cuentas de usuario, serian#
$. 5ara la creación, actualización o eliminación de los usuarios del !M, adem"s de la presencia del 8ncargado del 9epartamento de !nform"tica: ser" necesario que el futuro usuario de la cuenta este presente para que digite su Clave: y así poder insertarlo al sistema.
?. Como medida de seguridad y control cada cuatro meses o sea tres veces al año-, se cambiaran todas las claves de los usuarios del !M, esto con el objetivo de prevenir cualquier acceso indebido al sistema por parte de un usuario que conozca la clave de otro.
$>.Con respecto al formato de las claves de usuario, se establece que estas ultimas deben#
$. Combinar letras y n@meros.
%. Gener un tamaño de siete caracteres.
'. I como medida de seguridad se le especificara a cada usuario que su clave no debe de tener ninguna relación directa con ellos, para evitar que cualquier otra persona f"cilmente descubra la clave que utilizan para ingresar al !M%$.
12
11.8s
responsabilidad del /uditor !nterno de la Municipalidad de Carrillo el revisar
periódicamente el listado de usuarios activos en el !M, adem"s de verificar si el nivel de acceso con que cuentan corresponde a las labores que realizan. Gambi3n
12.8s
responsabilidad del /uditor !nterno de la Municipalidad de Carrillo monitorear las
transacciones realizadas por cada uno de los usuarios del !M, esto con el objetivo de llevar un control de los datos y la información manipulada por los usuarios dentro del sistema.
$'.&o deben otorgarse cuentas a t3cnicos de mantenimiento ni permitir su acceso remoto a menos que el 8ncargado del 9epartamento de !nform"tica determine que es necesario. 8n todo caso esta facilidad sólo debe 1abilitarse para el periodo de tiempo requerido para efectuar el trabajo.
$(.e pro1íbe el uso de cuentas anónimas o de invitado y los usuarios deben entrar al sistema mediante cuentas que indiquen claramente su identidad.
$0.Cuando un empleado es despedido o renuncia a la Municipalidad de Carrillo, debe desactivarse su cuenta antes de que deje el cargo.
Contrase7as y el Control de 8cceso $. 8l usuario no debe guardar su contraseña en una forma legible en arc1ivos en disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser encontrada. i 1ay razón para creer que una contraseña 1a sido comprometida, debe cambiarla inmediatamente. &o deben usarse contraseñas que son id3nticas o substancialmente similares a contraseñas previamente empleadas. iempre que sea posible, debe impedirse que los usuarios vuelvan a usar contraseñas anteriores.
13
%. &unca debe compartirse la contraseña o revelarla a otros. 8l 1acerlo e)pone al usuario a las consecuencias por las acciones que los otros 1agan con esa contraseña.
'. 8st" pro1ibido el uso de contraseñas de grupo para facilitar el acceso a arc1ivos, aplicaciones, bases de datos, computadoras, redes, y otros r ecursos del sistema. 8sto se aplica en particular a la contraseña del administrador.
(. Las contraseñas predefinidas que traen los equipos nuevos tales como routers, s2itc1s, etc., deben cambiarse inmediatamente al ponerse en servicio el equipo.
0. i no 1a 1abido ninguna actividad en una Germinal, 5C o estación de trabajo durante un cierto periodo de tiempo, el sistema debe autom"ticamente borrar la pantalla y suspender la sesión. 8l periodo recomendado de tiempo es de $> minutos. 8l reB establecimiento de la sesión requiere que el usuario proporcione se autentique mediante su contraseña.
4. Los usuarios no deben intentar violar los sistemas de seguridad y de control de acceso. /cciones de esta naturaleza se consideran violatorias de las políticas de la Municipalidad de Carrillo, pudiendo ser causal de despido.
6. 5ara tener evidencias en casos de acciones disciplinarias y judiciales, cierta clase de información debe capturarse, grabarse y guardarse cuando se sospec1e que se est3 llevando a cabo abuso, fraude u otro crimen que involucre los sistemas inform"ticos.
7. Los arc1ivos de bit"cora logs- y los registros de auditoria audit trails- que graban los eventos relevantes sobre la seguridad de los sistemas inform"ticos y las comunicaciones, deben revisarse periódicamente y guardarse durante un tiempo prudencial de por lo menos tres meses. 9ic1o arc1ivos son importantes para la detección de intrusos, brec1as en la seguridad, investigaciones, y otras actividades de 14
auditoria. 5or tal razón deben protegerse para que nadie los pueda alterar y que sólo los puedan leer las personas autorizadas.
9.
Los servidores de red y los equipos de comunicación deben estar ubicados en locales apropiados, protegidos contra daños y robo. 9ebe restringirse severamente el acceso a estos locales y a los cuartos de comunicación a personas no autorizadas mediante el uso de cerraduras y otros sistemas de acceso.
8sta serie de 5olíticas descritas anteriormente vienen a contribuir al ordenamiento y administración de los equipos y sistemas inform"ticos del ente municipal, por lo tanto es responsabilidad de todos los colaboradores de la Municipalidad de Carrillo aplicar y velar por el cumplimiento de cada unas de estas disposiciones: adem"s de reportar al 8ncargado del 9epartamento de !nform"tica acerca del incumplimiento de estas.
15
