Normas de seguridad informática FUNCION DE L A SEGURIDAD INFORMATICA INFORMATICA ➢
➢ ➢
Debe existir un área o persona responsable de la administración de la seguridad informática la cual cual debe debe vela velarr por por el cump cumplilimi mien ento to de las las polí polítitica cas, s, norm normas as y proc proced edim imie ient ntos os relacio relacionad nados os con Seguri Seguridad dad Inform Informáti ática, ca, así como como de planear planear y coordi coordinar nar todos todos los proye proyect ctos os relac relacion ionad ados os con con la impla implant ntac ació ión n de cont control roles es para para opti optimi miza zarr y mejo mejora rar r continuamente la seguridad de la información de XXXXXXXX Deberá definirse definirse la estructura estructura del área de Seguridad Informática Informática y detallarse detallarse las funciones funciones de los miembros de dicha área. Las tareas de administración de Seguridad Informática de los componentes tecnológicos deberán comprender como mínimo: Definición de accesos. Administración de cuentas. Definición de derechos de usuarios para hacer tareas de operación sobre servidores. Optimización de la Seguridad Informática. Realización periódica de campañas de concientización en Seguridad Informática Atención de incidentes de Seguridad Informática • • • • • •
HERRAMIENTAS HERRAMIENTAS DE SEGURIDAD: OPERACION Y PROTECCION ➢
➢ ➢
➢
Deben Deben existi existirr herrami herramient entas as tecnol tecnológic ógicas as que permit permitan an una adecua adecuada da admini administr straci ación, ón, monitoreo y control de la seguridad de los recursos informáticos disponibles en XXXXXXXX . El acceso a las herramientas de seguridad se establecerá de acuerdo a las necesidades de los funcionarios que lo requieran para el cumplimiento estricto de sus funciones. Es responsabilidad responsabilidad directa del área de Seguridad Seguridad Informática Informática verificar que sólo tengan acceso acceso a las herramientas herramientas de seguridad seguridad aquellos funcionarios funcionarios que así lo requieran requieran para el cumplimiento de sus funciones. Únicame Únicamente nte,, quienes quienes ejerzan ejerzan los siguien siguientes tes roles roles tendrá tendrán n acceso acceso a herram herramien ientas tas de seguridad informática: Administrador de Sistemas Administrador de Seguridad para cada Aplicación Administrador de Bases de Datos Ingenieros de XXXXXXX •
• •
•
CLASIFICACION DE LA INFORMACION ➢
➢
Toda la información existente generada y soportada por los Sistemas de Información de XXXXXXXX debe ser clasificada con el objetivo de determinar determinar controles específicos para la protección de la misma La información de XXXXXXXX XXXXXXXX será clasificada como Altamente Confidencial, Confidencial, Restringida y Pública con base en los siguientes parámetros: Costo de reemplazo o reconstrucción Interrupción del negocio Violación de la privacidad • • •
➢
➢
➢
➢
La información información ALT ALTAMENTE AMENTE CONFIDENCI CONFIDENCIAL AL es información información de alta importancia importancia para XXXXXXXX que solo puede ser accedida por quienes ejerzan las funciones de dirección. El mal uso de la misma puede ir en detrimento detrimento de los intereses de XXXXXXXX XXXXXXXX . La información información CONFIDENCIAL. CONFIDENCIAL. es información información crítica crítica y solamente solamente podrá ser conocida al interior interior de XXXXXXXX XXXXXXXX ya que el conocimient conocimiento o externo de la misma puede implicar riesgo riesgo para la Entidad. La información RESTRINGIDA solo podrá ser accedida por grupos específicos de usuarios que requieren del conocimiento de esta información para el estricto cumplimiento de sus funciones. La info inform rmac ació ión n PÚBL PÚBLIC ICA A podrá podrá ser ser utili utiliza zada da por por todo todoss los los empl emplea eado doss dire direct ctos os de XXXXXXXX y por empleados temporales, contratistas contratistas y terceros terceros a XXXXXXXX .
PROPIEDAD DE LA INFORMACION ➢ ➢
➢ ➢ ➢ ➢ ➢
Toda la información información existente existente en los recurso recursoss informátic informáticos os de XXXXXXX XXXXXXXX X pertenece pertenece a XXXXXXXX . Todos los recursos informáticos informáticos de XXXXXXXX XXXXXXXX están sujetos sujetos a revisiones revisiones periódicas periódicas por parte de Auditoría Auditoría Informática Informática o por los funcionarios funcionarios que XXXXXXXX XXXXXXXX delegue para dicho fin. Es responsabilidad del usuario garantizar los derechos de propiedad de la información de XXXXXXXX Se prohí prohíbe be el uso uso de la info inform rmac ación ión de XXXX XXXXXX XXXX XX con con prop propós ósititos os come comerc rcial iales es o personales. Toda información generada por y para XXXXXXXX XXXXXXXX es propiedad de XXXXXXXX a menos que una relación contractual aprobada por la Gerencia General especifique lo contrario. Ningún tipo de informació información n acerca del negocio negocio de XXXXXXXX XXXXXXXX debe ser compartida compartida con externos, solamente se hará cuando las características del trabajo lo requieran. Los reportes oficiales de la información administrada, almacenada y soportada por los Sistem Sistemas as de Inform Informaci ación ón deberá deberán n ser genera generados dos en format formato o PDF para para garant garantiza izarr la integridad y veracidad de la información.
BACKUP DE LA INFORMACION ➢ ➢
➢
➢ ➢ ➢
Debe existir una definición formal de las políticas y procedimientos de generación, retención y rotación de copias de respaldo. Con Con el obje objetitivo vo de gara garant ntiz izar ar la cont continu inuid idad ad del del negoc negocio io,, se dete determ rmina ina de cará caráct cter er obligatorio, la ejecución de políticas y procedimientos relacionados con copias de respaldo para la información información definida por XXXXXXXX . Debe Debe existi existirr un proced procedimi imient ento o que determ determine ine activid actividades ades,, period periodici icidad dad,, respons responsabl able e y mecanismos de almacenamiento de las copias de respaldo de todos los Sistemas de Información de XXXXXXXX XXXXXXXX . La responsabilidad de verificar la realización de copias de respaldo de los servidores es del área de Seguridad Informática. El almacenamiento de las copias de respaldo es responsabilidad del área de Infraestructura. La ejecución de las copias de respaldo es responsabilidad del área de Infraestructura.
ALMACENAMIENTO DE LA INFORMACION ➢ ➢ ➢
En los servid servidores ores y comput computado adores res persona personales les de XXXXXX XXXXXXXX XX únicam únicament ente e se debe almacenar información de propiedad de XXXXXXXX . Toda la información crítica de XXXXXXXX XXXXXXXX deberá estar almacenada en los servidores. Se enti entiend ende e por por info inform rmac ació ión n crít crític ica a la infor informa maci ción ón indis indispe pens nsabl able e para para el norm normal al funcionamiento de XXXXXXXX XXXXXXXX cuya disponibilidad garantiza la continuidad del negocio y la cual debe estar debidamente protegida.
➢
➢
En los computadores personales o portátiles deberá estar almacenada la información de apoyo que no está clasificada clasificada para para XXXXXXXX XXXXXXXX y es responsabilidad responsabilidad del Jefe Jefe de Área el velar por la protección y respaldo de la información. En caso caso de reti retiro ro de un usuar usuario io,, la info inform rmac ació ión n alma almace cena nada da en los los comp comput utad ador ores es personales o portátiles asignados para el desarrollo de sus funciones deberá ser entregada a su superior inmediato.
ADMINISTRACION DE MEDIOS REMOVIBLES ➢ ➢ ➢ ➢ ➢ ➢
➢ ➢ ➢
➢
➢
La Gerencia de Sistemas de XXXXXXXX es la responsable de la asignación y autorización autorización de uso de los dispositivos removibles. Los dispositivos de medios removibles como puertos USB, CD de escritura, entre otros, sólo se habilitaran en caso que exista una justificación laboral para hacerlo. Solo es permitido permitido el uso de medios removibles removibles a aquellos usuarios que lo requieran requieran por el tipo de labores que realizan. Se debe realizar identificación clara de la información contenida en medios removibles para garantizar su debida administración y control. El responsable del medio removible deberá velar por el buen uso de la información almacenada en el mismo, el adecuado control y su distribución debe ser restringida. El responsable de la información debe tomar las medidas de precaución necesarias para el transporte de cualquier tipo de información, estas medidas van desde el control de acceso a través de contraseñas hasta encriptación de los archivos o medio a transportar. transportar. En caso de pérdida de uno de estos dispositivos con información información sensible de XXXXXXXX , esta debe ser reportada de inmediato alJefe de área y al área de Seguridad Informática. Toda la información almacenada en medios removibles debe ser eliminada de manera segura o sobrescrita cuando el medio sea retirado retirado de XXXXXXXX o sea dado de baja. La función del medio removible removible es facilitar facilitar el transporte transporte de información información y no se consideran consideran como como medi medio o prim primar ario io de almac almacen enam amien iento to de la inform informac ació ión n de prop propie iedad dad y uso uso de XXXXXXXX . En caso caso de borr borrad ado o acci acciden denta tall o volu volunt ntar ario, io, dete deterio rioro ro o cualq cualqui uier er acci acción ón que que haga haga inaccesible la información almacenada en el medio removible, la el área de Infraestructura de la Gerenc Gerencia ia de sistem sistemas as hará los mejores mejores esfuerzos esfuerzos pero no será será respon responsab sable le de la recuperación de dicha información. El responsable del medio removible debe asegurar que la información allí almacenada provenga de una fuente segura y esté libre de virus, software y/o código malicioso que pueda poner en riesgo la seguridad seguridad y la disponibilidad disponibilidad de la información información y de la plataforma plataforma tecnológica de XXXXXXXX .
RESPONSABILIDAD DE USUARIOS ➢ ➢
La Gerencia de Sistemas de XXXXXXXX es responsable por la asignación y administración de recursos informáticos requeridos por los usuarios para el cumplimiento de sus labores. Es responsabilidad de los usuarios de componentes tecnológicos de XXXXXXXX XXXXXXXX : Garantizar la integridad, veracidad y confidencialidad de la información asignada para el cumplimiento de sus funciones. Hacer uso adecuado de la información de propiedad propiedad de XXXXXXXX XXXXXXXX . Administrar la información a su cargo. Utilizar correctamente las contraseñas. Mantener la confidencialidad de las contraseñas. Velar por el adecuado almacenamiento de la información.
•
• • • • •
•
•
•
• •
Hacer Hacer copias copias de seguri seguridad dad de la inform informaci ación ón almace almacenad nada a en los comput computado adores res personales y/o portátiles. Si no está seguro del proceso debe comunicarse con el XXXXXXX – Ext XXX Reportar Reportar al Administrad Administrador or de sistemas sistemas y/o al área de Seguridad Seguridad Informática, Informática, cualquier incidente de seguridad que se presente en su equipo, o que sea percibido en la información usada en las labores diarias. Conocer Conocer y cumplir cumplir cabalmente cabalmente las Políticas, Políticas, Normas, Procedimientos Procedimientos y Estándares Estándares definidos en el Modelo de Seguridad Informática. Hacer uso racional de los recursos informáticos provistos por XXXXXXXX XXXXXXXX . Mantener en forma organizada la información existente en el computador personal a cargo.
PREVENCION, DETECCION Y ELIMINACION DE SOFTWARE ILEGAL ➢ ➢ ➢
➢
➢
➢
➢ ➢ ➢
➢ ➢ ➢
➢ ➢ ➢
Todo el softwa software re instalado instalado en los computad computadore oress de XXXXXX XXXXXXXX XX debe debe ser legalmen legalmente te adquirido y estar autorizado autorizado y licenciado por XXXXXXXX XXXXXXXX . Todo software que utilice XXXXXXXX XXXXXXXX será adquirido de acuerdo con las leyes vigentes en Colombia. Se entiende por software ilegal toda copia o uso no autorizado de un programa de computador en cualquier forma distinta a la permitida por las leyes de derechos de autor o a la estipulada en la licencia de software. Se entiende por software SHAREWARE (Uso restringido) aquel que se puede instalar sin licencia como versión inicial de prueba, pero, el usuario tiene que pagar por adquirir la licenc licencia ia de uso definit definitivo ivo.. En algunas algunas ocasio ocasiones nes las version versiones es SHAREW SHAREWARE ARE,, llamado llamado también LITEWARE traen opciones deshabilitadas para obligar al usuario a adquirir la licencia definitiva de uso. Se entiende por software FREEWARE (libre distribución) aquel que no requiere ningún tipo de licencia para su funcionamiento. Sin embargo, sus derechos de copia no pueden ser incorporados a ningún tipo de desarrollo de software. Normalmente se adquiere vía Internet. Se entiende por SOFTWARE DE DOMINIO PUBLICO, aquel que no tiene derechos de autor, ya que sus autores desean compartirlo con la comunidad mundial de desarrolladores. Es de libre uso y puede ser incorporado a cualquier tipo de desarrollo de software no comercial. Ningún tipo de software, incluyendo el catalogado como de libre distribución debe ser instalado en los equipos de XXXXXXXX sin previa autorización. Todos los empleados deben recibir inducción respecto a los tipos de licenciamiento de software existentes y los requerimientos de legalizar el software disponible en Internet. Las licencias de software y/o los datos que comprueben la licencia de uso del software deben estar debidamente almacenadas y protegidas en un área de acceso restringido. Deberán Deberán ser almacenadas centralizada centralizadamente mente y en las oficinas de otras ciudades deberá conservarse una copia de las licencias allí instaladas. El lugar de almacenamiento será determinado por la Gerencia de Sistemas. Los inventarios de hardware, software y licencias deben permanecer actualizados. Debe existir una reglamentación de uso para los productos de software instalados en demostración en los computadores de XXXXXXXX La Gerencia de Sistemas debe realizar revisiones periódicas aleatorias a los computadores de XXXXXXXX , con el fin de verificar que solamente esté instalado software software autorizado por XXXXXXXX . XXXXXXXX debe disponer de una herramienta para administración administración y control automático de productos de software instalados. Todas las copias de software instaladas y no autorizadas deben ser eliminadas. La violación de estas normas ocasionará sanciones.
PREVENCION, DETECCION Y ELIMINACION DE VIRUS ➢
➢
➢
➢ ➢ ➢
➢ ➢
➢
➢ ➢
➢ ➢
➢ ➢ ➢
Los usuarios deben adoptar en forma permanente medidas preventivas tendientes a evitar la presencia presencia de virus informáticos informáticos en los computadores computadores de XXXXXXXX XXXXXXXX , para ello deben estar entrenados en el uso del software antivirus definido por XXXXXXXX . Todos los usuarios deben estar alerta sobre el riesgo de virus informáticos a través de Internet, por correo electrónico, desde otro computador de la red o por medio de un dispositivo removible. En los casos en que se autorice la instalación de software catalogado como de libre distri distribuc bución ión,, éste éste debe debe ser revisad revisado o y certif certifica icado do por el área área de Infrae Infraestr struct uctura ura de la Gerencia de Sistemas, como libre de virus antes de ser instalado en los computadores de XXXXXXXX . Toda comunicación recibida a través de la red, debe ser revisada por el software antivirus antes de ser abierta y almacenada en el equipo. Cualquier archivo recibido a través de la red debe ser siempre revisado con el antivirus seleccionado por XXXXXXXX . El área área de Infrae Infraestr struct uctura ura de la Gerenc Gerencia ia de Sistema Sistemass serán serán los únicos únicos funcio funcionar narios ios autorizados para descargar software desde Internet, siguiendo los lineamientos definidos en las políticas y normas de Seguridad de la Información. La instal instalaci ación ón de cualqui cualquier er tipo tipo de softwa software re solame solamente nte podrá ser hecha por área de Infraestructura o por quienes ellos deleguen. El software antivirus debe estar instalado en los servidores y computadores personales de XXXX XXXXXX XXXX XX y debe debe ser ser actu actual aliz izad ado o y dist distri ribu buido ido de mane manera ra auto automá mátitica ca desd desde e los los servidores de red. Los diferentes diferentes servidores servidores y computadores computadores tendrán instalado el antivirus antivirus seleccionado seleccionado por XXXXXX XXXXXXXX XX , el cual cual debe estar estar configur configurado ado de tal forma forma que se active active cuando cuando se encienden los computadores. Deben Deben existi existirr proced procedimi imient entos os y mecani mecanismo smoss para para garant garantiza izarr que la herram herramien ienta ta para para detección y eliminación de virus se encuentre permanentemente actualizada. Los cambios de configuraci configuración ón del antivirus, son responsabilid responsabilidad ad exclusiva exclusiva del personal personal del área de Infraestru Infraestructura ctura de la Gerencia Gerencia de sistemas sistemas y ningún usuario, usuario, por ningún motivo, motivo, debe intentar modificar dicha configuración. Los funcion funcionari arios os de XXXXXX XXXXXXXX XX deberán deberán informa informarr a XXXXXX XXXXXXX X - Ext XXX o al área área de Seguridad Informática, cualquier virus detectado en sus computadores personales. Los usuari usuarios os deben deben conoce conocerr los proced procedimi imient entos os de detecc detección ión y elimin eliminaci ación ón de virus virus informáticos. El software de detección de virus virus seleccionado por XXXXXXXX debe ser instalado en todos los servidores, estaciones de trabajo, incluyendo incluyendo computadores portátiles de XXXXXXXX XXXXXXXX . Todos los registros registros de detección detección de virus serán examinados examinados por el área de Infraestru Infraestructura ctura con el objetivo de evitar reincidencias. Cual Cualqu quie ierr equi equipo po que que haya haya sido sido dete detect ctad ado o con con viru virus, s, debe debe ser ser desc descon onec ecta tado do inmediatamen inmediatamente te de la red y solo será puesto en servicio servicio de nuevo hasta que el área de Infraestructura verifique que todos los virus han sido eliminados.
SEGURIDAD DE COMPUTADORES PERSONALES ➢ ➢
Cualquier Cualquier modificación modificación al estándar estándar definido para software software y hardware hardware en computadores computadores de XXXXXXXX debe ser autorizada por la Gerencia de Sistemas. Sistemas. La configuración, instalación, desinstalación y mantenimiento de hardware y software es responsabilid responsabilidad ad exclusiva exclusiva de la Gerencia de Sistemas Sistemas de XXXXXXXX XXXXXXXX . Por esta razón ningún usuario, bajo ningún motivo, debe intentar modificar las configuraciones del software instalado en los equipo de cómputo.
➢ ➢ ➢ ➢ ➢ ➢
➢ ➢
➢ ➢ ➢ ➢
Debe mantenerse un inventario actualizado de software y hardware de cada uno de los computadores de XXXXXXXX Todos los usuarios de computadores personales deberán tener en cuenta los siguientes aspectos: No ingerir alimentos cerca de los computadores personales No realizar actividades de mantenimiento de hardware Conservar los equipos en adecuadas condiciones ambientales Apagar los equipos cuando no estén en uso La Gerencia de Sistemas Sistemas es responsable responsable de la instalación instalación y configuraci configuración ón del protector protector de pantalla con contraseñas de acceso en todos los computadores personales. La correcta utilización utilización de la cuenta de usuario usuario para administrac administración ión y su contraseña contraseña a nivel de computadores computadores personales esta bajo la responsabili responsabilidad dad de cada usuario al cual se le entrega su contraseña. La Gerenci Gerencia a de Sistem Sistemas as tiene tiene la potest potestad ad para para remove removerr, sin notifi notificar car al funcio funcionar nario, io, cualquier software que no esté autorizado por la Gerencia de Sistemas Las normas mínimas de control deben ser acatadas por todos los usuarios para garantizar la seguridad y apropiado uso de los equipos portátiles de propiedad de XXXXXXXX Los computadores portátiles XXXXXXXX XXXXXXXX se han adquirido específicamente específicamente para facilitar el desarrollo de actividades laborales directamente relacionadas con XXXXXXXX Su uso debe estar directamente relacionado con las actividades del área a la cual ha sido asignado el equipo portátil y el uso para propósitos personales debe ser ocasional, racional y no debe obstaculizar las actividades laborales.
Control de configuración Cambios al Software de Aplicaciones ➢ ➢
➢ ➢ ➢
.
XXXXXXXX XXXXXXXX cuenta con diferentes diferentes clases de software aplicativo, aplicativo, debidamente debidamente licenciado licenciado que puede ser utilizado por los funcionarios de XXXXXXXX XXXXXXXX . La instalación, configuración, modificación o eliminación de software aplicativo sobre los computadores computadores personales personales y/o Portátiles Portátiles es responsabili responsabilidad dad exclusiva de la Gerencia Gerencia de Sistemas. Ningún Ningún usuari usuario, o, bajo ninguna ninguna circun circunsta stanci ncia, a, puede puede instala instalarr softwa software re aplicat aplicativo ivo en los computadores personales y/o Portátiles. La Gerenci Gerencia a de Sistem Sistemas as tiene tiene la potest potestad ad para para remove removerr, sin notifi notificar car al funcio funcionar nario, io, cualquier software que no esté autorizado por la Gerencia de Sistemas. Cualquier modificación al estándar definido para software y hardware en los computadores personales y/o Portátiles de XXXXXXXX XXXXXXXX debe ser autorizada por la Gerencia de Sistemas. Sistemas.
Cambios a la Configuración del Sistema Operativo ➢ ➢ ➢ ➢
La configuración de las opciones del sistema operativo en los computadores personales y/o Portátiles es responsabilidad exclusiva de la Gerencia de Sistemas. Ningún funcionario, bajo ninguna circunstancia, puede modificar la configuración del sistema operativo de los computadores personales y/o Portátiles Portátiles de XXXXXXXX XXXXXXXX . Ningún Ningún funcio funcionar nario, io, bajo ninguna ninguna circun circunsta stancia ncia,, puede puede elimin eliminar ar o modifi modificar car el sistem sistema a operativo instalado en los computadores personales y/o y/o Portátiles de XXXXXXXX XXXXXXXX . Ningún funcionario, funcionario, bajo ninguna circunstancia circunstancia,, puede instalar un nuevo sistema operativo en los computadores personales y/o Portátiles de XXXXXXXX
Cambios al Hardware ➢
La configuración de hardware de los computadores personales y/o Portátiles de XXXXXXXX , es responsabilidad exclusiva de la Gerencia de Sistemas
➢
Ningún funcionario, bajo ninguna circunstancia, puede retirar o instalar nuevos dispositivos de hardware a los computadores personales y/o y/o Portátiles de XXXXXXXX .
Utilización de tarjetas inalámbricas ➢ ➢
Se debe mantener desactivada la red inalámbrica en caso de que no esté siendo utilizada. El uso de redes AD-HOC está restringido excepto cuando sea estrictamente necesario y estas deben contar con mecanismos de autenticación y tráfico seguro como WEP, WPA. ó WPA2
Copias de Seguridad o Backup de la Información ➢
Es resp respons onsab abili ilida dad d de cada cada usua usuari rio o hace hacerr copi copias as de segu seguri rida dad d de la info inform rmac ación ión almacenada almacenada en el computador computador personal y/o Portátil. Si no está seguro del proceso debe comunicarse con el área de XXXXXXX – Ext XXX .
Reporte de Daño o Robo de Equipos Portátiles ➢
Es responsabili responsabilidad dad del funcionario funcionario reportar inmediatament inmediatamente e a la Gerencia Gerencia de Sistemas, Sistemas, cualquier daño o pérdida del equipo portátil que le ha sido asignado.
Incumplimiento ➢ ➢
Es responsabilidad de cada usuario el cumplimiento de esta norma en forma consistente. Cualquier tipo de incumplimiento, inobservancia o mal uso, de estas mínimas prácticas, es considerado como una falta falta grave para XXXXXXXX XXXXXXXX ..
SEGURIDAD Y USO ADECUADO DE EQUIPOS DE TERCEROS ➢
Todos odos los equipos equipos de propied propiedad ad de tercer terceros os que sean sean autori autorizado zadoss por la gerenc gerencia ia de sistemas para ser ingresados a la red de datos de XXXXXXXX XXXXXXXX deben: Utilizar únicamente el software necesario para el desarrollo de sus labores. Tener ener instal instalado ado softwar software e debidam debidament ente e licenci licenciado ado ya que XXXXXX XXXXXXXX XX no se hace responsable por el uso de software no licenciado. Mantener actualizado el software instalado con los niveles de seguridad recomendados por el fabricante. Adquirir, instalar y mantener actualizado software antivirus en sus computadores con el fin de evitar dispersión de virus en la red. Ser identificados según el estándar de nomenclatura de equipos cliente definida por XXXXXXXX La Gerencia de Sistemas no suministrará servicio de soporte a Hardware ni Software de propiedad de terceros. Los responsables de equipos de terceros deben: Cont Contro rolar lar el acce acceso so al comp comput utad ador or a pers person onas as no auto autori riza zada dass para para asegu asegura rarr la protección de la información. Utilizar adecuada y racionalmente los recursos tecnológicos que provee XXXXXXXX No hacer uso de comunicaciones telefónicas o inalámbricas a redes externas mientras el computador esté conectado a la red de datos de XXXXXXXX . Tomar las medidas necesarias para garantizar la seguridad del equipo equi po de su propiedad. •
•
•
•
•
➢ ➢
•
• •
•
•
Conocer, cumplir y difundir las Políticas, Normas, Procedimientos y Estándares del Modelo de Seguridad Informática.
ADMINISTRACION DE CUENTAS CUENTAS ➢
➢ ➢ ➢
➢ ➢
Todas las personas personas que presten sus servicios servicios a XXXXXXXX XXXXXXXX ya sea de forma directa o como contratistas contratistas,, deberán tener una cuenta personal para cada uno de los componentes componentes de la plataforma tecnológica a los que requieran acceso. Todas las cuentas con permisos de ingreso, modificación o eliminación de información deben ser de carácter único, personal e intransferible. El responsable de velar y monitorear que los usuarios usuarios tengan únicamente los accesos que necesitan para el cumplimiento de sus funciones es el área de Seguridad Informática. Se debe deben n inhab inhabililititar ar temp tempor oral alme ment nte e las las cuen cuenta tass de usua usuari rio o de func funcion ionar arios ios que que se encuentren de vacaciones y/o licencias, o a petición del respectivo Responsable de la Información, el Jefe Inmediato o de la Gerencia de Recursos Humanos. Se debe inactivar la cuenta de usuario en el Directorio Activo, en los siguientes casos: Si el funcionario ya no labora para XXXXXXXX XXXXXXXX . Si así lo establece el área de Seguridad Informática como resultado de alguna de sus revisiones periódicas. Cuan Cuando do se esta estable blece ce una una sanc sanción ión al usua usuari rio o por por mal mal uso uso de los los comp compon onen ente tess tecnológicos • •
•
EXEPCIONES DE LA NORMA ➢
Solo se harán excepciones a esta norma cuando sea necesario mantener un registro de histórico de un usuario en particular, para lo cual se debe contar con la autorización de la Gerencia de Sistemas
REGISTRO DE EVENTOS ➢ ➢
➢
➢ ➢ ➢
Deben existir mecanismos que permitan que todas las actividades ejecutadas sobre los servidores queden reflejadas en los registros de auditoría del sistema. Deben existir procedimientos que determinen el uso de los registros de auditoría generados por los diferentes sistemas de información para monitorear el acceso autorizado a bases de datos de producción o directorios con información crítica. Debe Debe existi existirr un proced procedimi imient ento o que regule regule la revisi revisión ón periód periódica ica de los logs, con el fin de detectar los posibles intentos de violación a la seguridad o mal uso de los componentes de la plataforma tecnológica como el acceso a internet. Los accesos otorgados temporalmente para ejecución de trabajos de emergencia deben ser de acceso restringido y deben ser revisados periódicamente. El área área de Seguri Seguridad dad Inform Informáti ática ca en conjun conjunto to con los Respon Responsab sables les de la Inform Informaci ación ón determinará quienes son los usuarios para realizar la auditoría. La activación activación de los registros de auditoría a nivel de componentes componentes tecnológicos tecnológicos diferentes diferentes de los sistemas aplicativos será realizada por el Administrador de sistemas y/o Responsable del Componente Tecnológico, de acuerdo con los requerimientos de los Responsables de la información.
CONFIGURACION DE PARAMETROS PARAMETROS ➢
Todos los parámetros de seguridad configurados en los Componentes de la plataforma tecnológica, deben cumplir con con los estándares establecidos establecidos por XXXXXXXX XXXXXXXX .
➢
➢ ➢
➢
El área de Seguridad Informátic Informática a en conjunto conjunto con la Gerencia de Sistemas Sistemas tendrá bajo su responsabilidad analizar las implicaciones tecnológicas y funcionales de realizar cambios en la configuración de parámetros. Todos odos los los camb cambio ioss en conf config igur urac ació ión n de parám parámet etro ross requ requer erid idos os en los serv servido idore ress y aplicativos XXXXXXXX deben ser autorizados por el área de Seguridad Informática. Informática. Todos los cambios a configuración de parámetros deben ser debidamente documentados. La responsabilidad de ell ello o será de los Administradores y a los Administradores de Seguridad para cada Sistema de Información. En los los difer diferen ente tess comp compon onen ente tess de plat plataf afor orma ma tecn tecnoló ológi gica ca de XXXX XXXXXX XXXX XX debe deben n implementarse los siguientes controles como mínimo: Salida forzosa de un usuario de la estación de trabajo después de un tiempo de inactividad. Bloqueo de las cuentas de usuarios después de un número determinado de intentos fallidos o debido al no uso de la cuenta. Cambiar forzosa y periódicamente las contraseñas. Controlar la repetición de contraseñas ya utilizadas. •
•
• •
NOMBRES DE USUARIO ➢
➢
Todos los funcionarios de XXXXXXXX XXXXXXXX (empleados o contratistas) que requieran acceso a los componentes de la plataforma tecnológica, tendrán una identificación de usuario y una contraseña únicos para acceder al respectivo componente de la plataforma tecnológica. Todos odos los los ident identifific icad ador ores es de usuar usuario io debe deben n acog acoger erse se al está estánd ndar ar esta establ blec ecid ido o por por XXXXXXXX para dicho fin.
USUARIOS PRIVILEGIADOS ➢
Se entiende por usuarios privilegiados: Los superusuarios creados por defecto en la instalación de los componentes de la plataforma tecnológica. Los Los usua usuari rios os que que real realiz izan an acti activid vidad ades es de admin adminis istr trac ación ión en los comp compon onen ente tess tecnológicos con los máximos privilegios que requiere su función. Todos aquellos identificadores de usuario que requieren ser asignados a funcionarios cuyo cargo está relacionado con la administración funcional y/o tecnológica de sistemas de información. Los usuarios privilegiados solo serán otorgados a aquellas personas que lo requieran para el cumplimiento de sus funciones. Deberá existir una cuenta de usuario que será utilizada exclusivamente para monitoreo por parte del área de Seguridad Informática.. Las actividades realizadas realizadas por los usuarios privilegiados privilegiados deberán deberán reflejarse reflejarse en un registro, registro, que debe ser monitoreado periódicamente por el área de Seguridad Informática. Las person personas as que por sus funcio funciones nes requie requieran ran acceso acceso de usuari usuario o privil privilegi egiado ado deben deben solicitarlo solicitarlo siguiendo siguiendo el procedimient procedimiento o establecido por XXXXXXXX XXXXXXXX para administración administración de usuarios privilegiados de los componentes tecnológicos. Ningú Ningún n usua usuari rio o priv privililegi egiad ado o debe debe modif modific icar ar info inform rmac ació ión n sin sin prev previa ia auto autori riza zaci ción ón del del Responsable de la Información y del área de Seguridad Informática. Las contra contraseñ señas as de las cuenta cuentass de usuari usuarios os privile privilegia giados dos creado creadoss por defect defecto o en la instalación de cada componente de la plataforma tecnológica no deben ser conocidas por el personal que realiza actividades de administración. •
•
•
•
➢ ➢ ➢
➢ ➢
➢
➢
➢
Las
contraseñas de los usuarios privilegiados creados por defecto en la instalación de cada compon component ente e de la plataf plataform orma a tecnoló tecnológic gica a deben deben ser definid definidas as por el área área de Seguri Seguridad dad Informática y almacenadas en adecuadas condiciones de seguridad y serán utilizadas únicamente en situaciones consideradas de emergencia y/o contingencia. Las cuentas de usuarios privilegiados deben ser de uso personal e intransferible. Debe existir un procedimient procedimiento o para el almacenamien almacenamiento, to, protección protección y administrac administración ión de las contraseñas de los usuarios privilegiados.
USUARIOS GENERICOS ➢
XXXXXXXX no asignará cuentas de red o de aplicaciones para usuarios Genéricos
SEGURIDAD LOGICA - SUPERUSUARIOS DE BASES DE DATOS DATOS ➢ ➢
➢ ➢
El Administrador de Bases de Datos es el único autorizado para crear a nivel de Base de Datos, los súperusuarios que serán utilizados.. Los superusuarios que requieren acceso a las Bases de Datos, solo podrán ser solicitados al Administrador de Bases de Datos por el Administrador de Seguridad del Sistema de Información y autorizados por el área Seguridad Informática. La crea creaci ción ón de los supe superus rusua uari rios os a nivel nivel de Base Basess de Dato Datoss debe deberá rá ser ser defini definida da técnicamente por los líderes técnicos de los Sistemas de Información. La contraseñas de los superusuarios de Sistemas de Información creados a nivel de Bases de Datos y utilizadas para otorgar acceso a los usuarios usuarios del Sistema de Información deben ser de uso y conocimiento únicamente por parte del Administrador de Seguridad para cada Sistema de Información o quien ejerza sus funciones.
ADMINISTRACION DE ACCESOS A COMPONENTES DE LA L A PLATAFORMA PLATAFORMA TECNOLOGICA ➢
➢
➢ ➢
Debe existir un procedimient procedimiento o formal formal para la creación, creación, actualización, actualización, inactivación, inactivación, bloqueo y/o eliminación de accesos a los diferentes componentes de la plataforma tecnológica existentes en XXXXXXXX XXXXXXXX . Toda novedad presentada en la planta de personal de los funcionarios y/o contratistas de XXXXXXXX (ingresos, licencias, sanciones, suspensiones, ascensos y/o retiros) debe ser ser reportada reportada mensualmente mensualmente por la Gerencia de Recursos Recursos Humanos y/o el Jefe Inmediato Inmediato del funcionario mediante novedad al área de Seguridad Informática. La autorización para la creación, eliminación o modificación de perfiles de acceso es responsabilidad directa del área de Seguridad Informática. El área de Seguridad Informática, los Administradores, Administradores de Seguridad para cada Sistema de Información y los Responsables de la Información serán los responsables de velar por que los perfiles de acceso existentes sean acordes con las funciones realizadas por cada uno de los usuarios.
CLAVES DE ACCESO ➢
Las contraseñas serán entregadas por: El Administrador de seguridad , en el caso de los Sistemas de Información. Los Administradores en el caso de los componentes de la plataforma tecnológica Todos los casos, deberá forzarse el cambio de la contraseña en el Primer ingreso. Las contraseñas deben ser únicas, personales e intransferibles. De esta forma se garantiza la integridad y veracidad de la información. Los cambios de contraseñas están sujetos a los estándares establecidos por XXXXXXXX • •
➢ ➢ ➢
SEGURIDAD FISICA
➢ ➢ ➢
Deben existir planos actualizados de las áreas de almacenamiento y/o procesamiento de la información. Deben existir planos de evacuación de las áreas de almacenamiento y/o procesamiento de la información. La Gerencia de Sistemas debe contar con contratos vigentes de mantenimiento preventivo y correctivo de los componentes de la plataforma tecnológica.
ACCESO A AREAS DE PROCESAMIENTO DE INFORMACION ➢
Se consideran áreas de procesamiento el centro de cómputo y los lugares donde se encuentren alojados los siguientes elementos: Servidores Centros de cableado UPS Componentes de red Equipos de comunicaciones Equipos de almacenamiento masivo de información El Responsable Responsable de las Áreas de Procesamien Procesamiento to y debe llevar un formato formato de control control donde se especifique la información de los funcionarios que tienen autorización para ingresar a las áreas de procesamiento. El formato debe contener, por lo menos, la siguiente información: Nombre del funcionario, área a la cual tiene acceso autorizado, justificación del acceso otorgado y funcionario quien autoriza. Todo personal que no tenga acceso permanente a esas áreas deberá permanecer en compañía compañía de un funcionario encargado encargado de la administrac administración ión de la seguridad seguridad física durante su permanencia en la zona de procesamiento. El acceso físico a las áreas de almacenamiento y/o procesamiento debe ser controlado mediante dispositivos electrónicos o en su defecto por procedimientos manuales. El acceso permanente a las áreas de procesamiento estará restringido a los funcionarios autorizados por la Gerencia de Sistemas El ingreso y salida de funcionarios funcionarios a las áreas de procesamien procesamiento to debe ser registrado registrado en el formato establecido por XXXXXXXX XXXXXXXX para dicho fin. fin. Con el objetivo de garantizar la confidencialidad de la información, los visitantes, contratistas y empleados externos de XXXXXXXX XXXXXXXX no tendrán acceso a los centros de almacenamiento y distribución distribución de la información, información, entre ellos: ellos: Centro de cómputo, cómputo, centros centros de cableado, a menos que sea estrictamente necesario para el cumplimiento de sus funciones. Para garantizar la integridad de los componentes de la plataforma tecnológica existentes en las áreas de procesamiento y almacenamiento de información deberá contarse con la infraestructura física requerida de acuerdo a los estándares definidos por XXXXXXXX XXXXXXXX . Deben existir mecanismos mecanismos de monitoreo monitoreo de las actividades actividades realizadas por personal personal que no pert perten enec ece e a la Gere Gerenc ncia ia de Sist Sistem emas as,, dura durant nte e su perm perman anen enci cia a en las las área áreass de procesamiento Se deben reportar y documentar todos los incidentes ocurridos durante la ejecución de labores dentro del centro de cómputo. En las áreas de almacenamien almacenamiento to y/o procesamien procesamiento to de información información está prohibido realizar las siguientes acciones: Consumir bebidas y alimentos Ingresar y/o almacenar material, cuando no lo requiere la actividad que se realiza en estas áreas. • • • • • •
➢
➢
➢ ➢ ➢ ➢
➢
➢
➢ ➢
•
•
CONTROL DE MEDIOS ➢
Se entiende por medios magnéticos:
Dispositivos que contienen software. Copias de respaldo de la información existente en los componentes de la plataforma tecnológica de XXXXXXXX XXXXXXXX . El acceso a los medios magnéticos debe ser restringido a personal autorizado de acuerdo a la norma de Seguridad Física - Acceso a áreas de almacenamiento y/o procesamiento. Las copias de seguridad deben ser almacenadas externamente de acuerdo con las políticas y procedimientos definidos por XXXXXXXX . Debe existir un inventario de los medios magnéticos almacenados, especificando para cada uno la siguiente información: Código de identificación del medio. Identificación del área responsable de la información. Fecha y hora de la transacción realizada. Descripción de la información contenida. Vigencia del medio (Para el caso de las copias de respaldo, esta fecha representa el tiempo que debe conservarse el medio antes de ser eliminado o sobrescrito). Debe existir un procedimient procedimiento o formal formal de destrucció destrucción n de cintas y/o medios magnéticos magnéticos que cont contie iene nen n info inform rmac ació ión n altam altamen ente te conf confide idenc ncia iall y que que haya hayan n perd perdid ido o vige vigenc ncia ia para para XXXXXXXX . Ningún tipo de información en medio magnético o impresa almacenada en áreas destinadas para tal fin, al interior de la organización o en forma forma externa a XXXXXXXX XXXXXXXX , debe retirarse de estas áreas sin previa autorización de la Gerencia de Sistemas. •
•
➢ ➢ ➢
• • • •
•
➢
➢
RETIRO DE COMPONENTES DE LA PLATAFORMA PLATAFORMA TECNOLOGICA ➢ ➢ ➢
Ningún tipo de componente componente de la plataforma tecnológica tecnológica será retirado retirado de las instalaciones instalaciones de XXXXXXXX sin previa autorización de la Gerencia de Sistemas Sistemas La Gerencia de Sistemas es responsable de los procesos de entrega y recepción de los componentes de la plataforma tecnológica a áreas usuarias o entes externos. Debe existir un procedimiento de retiro de los componentes de la plataforma tecnológica que garantice la integridad, disponibilidad y veracidad de la información existente en el componente.
USO DEL CORREO ELECTRONICO ➢ ➢
➢
➢ ➢ ➢
➢ ➢ ➢
El correo electrónico es un medio formal formal de comunicación de XXXXXXXX . El correo electrónico debe usarse para el envío de comunicaciones cortas y concisas. Las comunicaciones electrónicas al igual que todas las comunicaciones que se cursan al interi interior or de XXXXXX XXXXXXXX XX y hacia hacia el exteri exterior or,, deben deben tener tener las caract caracterí erísti sticas cas básicas básicas de cordialidad y respeto. En las comuni comunicac cacione ioness electr electróni ónicas cas deben deben observ observars arse e los conduc conductos tos regula regulares res de la Entidad, respetando el fuero y ámbito de decisión de las diferentes instancias. Las comunicaciones electrónicas en lo posible, deben ser concretas, precisas y completas. Solamente se considera oficial un mensaje de correo electrónico que incluya el nombre y el cargo del funcionario de XXXXXXXX XXXXXXXX y/o su firma digital. Se considerará no oficial cuando solamente incluye el nombre del funcionario. Las comunicaciones oficiales y circulares deben ser enviadas desde el correo electrónico de quien los firma. Se deben conservar los niveles de seguridad en el manejo de la información electrónica conforme a los parámetros definidos para tal fin. La asignac asignación ión de cuenta cuentass de correo correo electr electrónic ónico o a contra contratis tistas tas será será autori autorizad zado o por el supervisor del respectivo contrato.
➢ ➢ ➢
➢
➢
➢
➢
➢ ➢ ➢ ➢ ➢ ➢ ➢
➢ ➢ ➢
➢ ➢
➢
➢ ➢
➢ ➢ ➢
Todas odas las direcc direccione ioness de correo correo electró electrónic nico o deben deben ser creada creadass usando usando el estánda estándar r establecido por XXXXXXXX para dicho fin. Todos los funcionarios de XXXXXXXX XXXXXXXX tendrán correo electrónico personalizado. El uso del correo electrónico para fines personales deberá ser racional. Se establecerá un tamaño de buzón de correo para cada usuario, es decir un espacio en disco en el servidor de correo, correo, destinado al almacenamien almacenamiento to de mensajes mensajes electrónicos electrónicos de cada usuario. El usuario responsable del buzón deberá dar un trámite ágil al correo electrónico recibido, es decir, diariamente debe leer, responder y eliminar o archivar en el disco duro local, solamente los mensajes que soporten información relevante para el desarrollo de sus labores en XXXXXXXX . El mantenimiento de la lista de contactos y del buzón será responsabilidad del usuario Los mens mensaje ajess debe deben n ser ser reda redact ctad ados os de form forma a clar clara a y conc concre reta ta,, evit evitan ando do el uso uso de MAYUSCULAS sostenidas, que según normas internacionales de redacción en Internet, equivale a gritar. En el nombre del destinatario y el asunto debe evitarse el uso de caracteres especiales como slash (/), tildes (´), guiones (-), etc. Los mensajes de correo salientes siempre deben llevar en el campo “Asunto” una frase que haga referencia directa al contenido del texto. Todos odos los los mens mensaj ajes es de corr correo eo envi enviad ados os deben deben cont conten ener er como como mínim mínimo o la sigui siguien ente te información: Nombre, Cargo, Dependencia, Tel.: XXXX – Ext. XXXX Ningún usuario deberá permitir a otro enviar correos utilizando su cuenta, sin aclarar el remitente. La “confirmación de lectura” solo debe ser utilizada en situaciones estrictamente necesarias con el fin de evitar la congestión de mensajes Cuando un funcionario requiere ausentarse de XXXXXXXX por un período superior a 3 días debe programar el correo electrónico para que automáticamente responda a los remitentes indican indicando do fecha fecha de llegada llegada,, nombre nombre y direcc dirección ión de correo correo electr electróni ónico co de la person persona a encargada durante su ausencia. Después de inactividad de noventa (90) días la cuenta de correo será deshabilitada. El envío de mensajes a grupos de usuarios múltiples como “Todos los Usuarios ” cuyo tamaño pueda ocasionar ocasionar saturación saturación en el tráfico de la red pone en riesgo la disponibilidad disponibilidad de los servicios servicios informáticos informáticos de XXXXXXXX XXXXXXXX al exceder su capacidad, capacidad, por lo que este servicio se restringe a mensajes exclusivamente de carácter oficial emitidos por la Gerencia General. Como alternativa, cuando se desee publicar documentos o manuales se deben publicar en los servidores de archivos. Antes de enviar un correo deberá verificarse que esté dirigido solamente a los interesados y/o y/o a quie quiene ness deba deban n cono conoce cerr o deci decidi dirr sobr sobre e el tema tema,, evit evitan ando do dupl duplic icid idad ades es o desmejoramiento en el servicio y operación de la red. Antes de enviar un archivo adjunto, el remitente deberá verificar que éste no contenga virus. Está Está prohib prohibida ida la reprod reproducc ucción ión y envío envío de mensaj mensajes es en cadena cadenass o similar similares; es; puede ocasionar suspensión del servicio temporal o definitiva, aunque el iniciador haya sido otra persona. No se deberá deberán n transm transmiti itirr o reprod reproduci ucirr mensaj mensajes es escrito escritoss y/o gráfic gráficos os que no atañen atañen directamente a asuntos propios de XXXXXXXX XXXXXXXX . La responsabilidad responsabilidad del contenido contenido de los mensajes de correo será del usuario usuario remitente. El receptor no deberá alterar los mensajes sin la autorización del emisor. emisor. El contenido de los mensajes de correo se considera confidencial y solo perderá este carácter en casos de investigaciones judiciales o incidentes relacionados con Seguridad Informática, entendiendo por confidencial aquella información cuyo conocimiento por parte de personas no autorizadas pueda implicar riesgos para XXXXXXXX .
➢
➢
➢
➢
➢
➢ ➢
El contenido o información (textual o gráfica) de las comunicaciones electrónicas deberá ser de tal forma que no pueda ser considerado como ofensivo, sexista, racista, discriminatorio, ofensi ofensivo, vo, obscen obsceno, o, en la medida medida que dichos dichos conten contenido idoss atenta atentan n contra contra los derech derechos os fundamentales de las personas. El Corr Correo eo elec electr trón ónic ico o no debe deberá rá usar usarse se para para envi enviar ar info inform rmac ació ión n con con cont conten enid ido o discriminatorio. Se deben evitar los estereotipos por raza, género, religión, origen étnico, localización geográfica, orientación sexual, discapacidad, apariencia física o estrato social. No se debe deberá rá utili utiliza zarr el corr correo eo elec electr trón ónic ico o para para envi enviar ar mens mensaj ajes es polí polítitico cos, s, avis avisos os clasificados, publicidad comercial o boletines cuya información no guarde relación directa con los intereses de la Entidad. En el servidor servidor de correo electrónico electrónico,, la Gerencia Gerencia de Sistemas Sistemas mantendrá actualizado actualizado el directorio directorio con las direcciones direcciones electrónica electrónicass de XXXXXXXX XXXXXXXX y los datos básicos de cada usuario de correo. Cualqui Cualquier er depend dependenc encia ia de XXXXXX XXXXXXXX XX podrá podrá tener tener asignad asignada a una direcció dirección n de correo correo electrónico electrónico para responder responder a preguntas preguntas y/o necesidades. necesidades. Ejemplo:XXX Ejemplo:XXXXXX XXXX X@XXX XXXXXX XXXXX XX .com,, no .com nomi mina na@ @XXX XXXXXX XXXXX XX .co .com m y infoweb@XXXXXXXX .com., .com., esto permite que los usuarios internos y externos obtengan respuesta de la Entidad, sin necesidad de conocer la dirección específica de un funcionario funcionario de XXXXXXXX XXXXXXXX . La administración de ésta cuenta de correo será responsabilidad de un usuario asignado por el Área Responsable de la Información. Las normas para el uso del correo electrónico certificado hacen parte de estas normas y serán publicadas al momento de su emisión.
ACCESO A INTERNET ➢
➢ ➢ ➢
El servicio de Internet debe ser utilizado para facilitar el cumplimiento de las funciones asignadas a los funcionarios de XXXXXXXX . Se debe hacer uso racional del servicio de Internet. El uso de Internet es considerado indebido cuando: Atenta contra la integridad, veracidad y confidencialidad de la información de la UAEAC Atenta contra la integridad de los componentes de la plataforma tecnológica. Reduce la productividad de los funcionarios. Pone en riesgo la disponibilidad de los recursos informáticos de XXXXXXXX XXXXXXXX . No se permite la descarga de software de Internet. La Gerencia de Sistemas debe usar herramientas para restringir el acceso a los sitios de Internet no autorizados por XXXXXXXX . Se realiz realizará arán n revisi revisiones ones periódica periódicass del uso de Intern Internet et por parte parte de funcio funcionar narios ios y/o contratistas que XXXXXXXX delegue para tal fin. Se prohíbe el acceso y consulta de páginas pornográficas, de contenido erótico u obsceno. Los funcionarios deberán limitar su acceso a páginas de entretenimiento, distracción o correos en portales públicos. XXXXXXXX XXXXXXXX podrá aplicar restricciones o sanciones en casos que se encuentren excesos. Para inscripciones y transacciones comerciales en Internet se debe entender que esta clase de actuaciones no compromete en forma alguna los recursos económicos de XXXXXXXX ni implica responsabilidad por parte de esta. En todo caso, si se llegare a presentar se entiende entiende que compromete compromete exclusivament exclusivamente e al funcionario y XXXXXXXX XXXXXXXX podrá tomar tomar las acciones del caso. El acceso acceso a Intern Internet et está autoriza autorizado do para todos los funciona funcionario rioss de XXXXXXXX XXXXXXXX en el horario horario establecido por la Gerencia Gerencia de Sistemas Sistemas y debe ser utilizado como herramienta herramienta de • • •
•
➢
➢ ➢ ➢ ➢
➢
➢
apoyo para facilitar el cumplimiento de las funciones asignadas. Se establecerán los grupos de acceso a Internet necesarios para el control de la navegación: SEPARACION DE AMBIENTES ➢
En el proceso de desarrollo e implantación de proyectos de mejoramiento de la aplicación PeopleSoft PeopleSoft o Adición Adición de nuevas funcionalidade funcionalidadess deben existir como mínimo mínimo los siguientes siguientes ambientes: Ambiente de Desarrollo: Desarrollo : Aquel en el cual los desarrolladores crean y modifican los objetos a solicitud del área Responsable de la Información. Ambien Ambiente te de Pruebas Pruebas:: Es una réplica del ambiente de producción en donde se realizarán realizarán todas las pruebas necesarias para garantizar el buen funcionamiento funcionamiento de los Sistemas de Información . Ambiente de producción: producción: Es el ambiente donde se realiza el procesamiento real de la información utilizada para la toma de decisiones de XXXXXXXX . Todos los cambios a programas deben realizarse en el Ambiente de Desarrollo. Los ingenieros de Nivel 2 deben tener acceso únicamente a los Ambientes de Desarrollo y pruebas. •
•
•
➢
➢
CONTROL DE CAMBIOS A SISTEMAS DE INFORMACION ➢ ➢
➢ ➢
➢ ➢ ➢ ➢ ➢
Debe disponerse de un inventario inventario de los Sistemas Sistemas de Información existentes XXXXXXXX , especificando si se encuentran en producción o desarrollo Para todos los cambios y ajustes autorizados, y en ejecución se debe conservar un registro de las las modi modififica caci cion ones es real realiz izad adas as.. Dicho Dicho regis registr tro o debe debe incl inclui uirr fech fechas as,, perso persona nass y transacciones involucradas en dicho cambio. Los cambios de emergencia deben ser debidamente aprobados, auditados y documentados. Todo cambio a los Sistemas de Información debe ser solicitado por el Responsable de la Información, Líder Funcional del área usuaria, Líder Técnico o Administrador de Seguridad. Si se requieren cambios a los datos, deben ser aprobados por el Responsable de la Información. Debe existir un procedimiento para la solicitud, autorización y aprobación para todos los cambios a PeopleSoft La documentación documentación de todas las aplicaciones aplicaciones de XXXXXXXX XXXXXXXX debe ser permanenteme permanentemente nte actualizada y debe realizarse siguiendo los estándares de documentación de XXXXXXXX . La documentación de los Sistemas de Información debe incluir Manuales, de Operación y de Usuario. Debe definirse y aplicarse una metodología para el desarrollo de nuevas funcionalidades de PeopleSoft. El área área Seguri Seguridad dad Inform Informáti ática ca deberá deberá monito monitorea rearr y velar velar por el cumplim cumplimient iento o de los procedimientos relacionados con cambios a programas.
PRUEBAS A PROGRAMAS ➢ ➢ ➢ ➢
Debe Debe exis existitirr un proc proced edim imie ient nto o de prue prueba bass a prog progra rama mass que que defina defina acti activi vidad dades es y responsables. Debe definirse un plan de pruebas que especifique escenarios de pruebas, niveles y tipos de pruebas que se deban realizar a los aplicativos. Los datos del ambiente de pruebas deben ser una réplica del ambiente de producción. El resultado de las pruebas deberá documentarse documentarse por los desarrolladores desarrolladores en conjunto conjunto con los usuarios del área solicitante.
TRANSPORTE DE OBJETOS ➢
➢ ➢ ➢ ➢
Todo transporte de objetos entre ambientes debe ser autorizado por el Administrador de Seguridad Informática para cada Sistema de Información. En el caso de transportes de objetos a ambiente de producción es necesaria la aprobación previa del Líder Funcional y/o Responsable de la Información. Todos odos los los tran transp spor orte tess de obje objeto toss entr entre e ambi ambien ente tess deben deben reali realiza zars rse e sigu siguie iend ndo o los procedimientos establecidos para dicho fin. El respon responsab sable le de transp transport ortar ar objeto objetoss entre entre ambient ambientes es de desarr desarrollo ollo y/o prueba pruebass es el Administrador de Bases de Datos Todo transp transport orte e de objeto objetoss entre entre ambien ambientes tes debe debe quedar quedar debidam debidament ente e docume documenta ntado do indicando fecha, responsable, objeto u objetos transportados, entre otros. Deben existir controles que aseguren que el código fuente de programas en producción representa exactamente el código que ha sido aprobado en el ambiente de pruebas y que se ha solicitado transportar. transportar.
MIGRACION DE DATOS ➢ ➢ ➢
Toda migración debe ser aprobada por la Gerencia de Sistemas. Se enti entien ende de por por migr migrac ació ión n el tras trasla lado do de dato datoss entre entre dife difere rent ntes es comp compone onent ntes es de la plataforma tecnológica. Debe definirse un plan de migración que incluya: Actividades Responsables Recursos Pruebas a realizar Resultados esperados Controles Cronograma Toda migración de datos debe deb e ser debidamente documentada. Cuando la migración es realizada por un tercero, se debe adjuntar el plan de migración completamente documentado y debe incluir la metodología a utilizar. • • • • • • •
➢
➢
ATENCION A INCIDENTES INFORMATICOS ➢
➢ ➢
Se entiend entiende e por incide incidente nte en la plataf plataform orma a tecnoló tecnológic gica a cualqui cualquier er evento evento que ponga ponga en riesgo la integridad, disponibilidad, confiabilidad, veracidad y consistencia de la información existente en la plataforma plataforma tecnológica de XXXXXXXX XXXXXXXX . Todos los incidentes incidentes ocurridos ocurridos en la plataforma plataforma tecnológica tecnológica de XXXXXXXX XXXXXXXX deben ser documentados y atendidos según la metodología de XXXXXXXX . En el Plan de Contingencia y en la metodología de Respuesta a Incidentes se debe determinar el responsable de atender los incidentes informáticos ocurridos especificando roles y responsabilidades
ATENCION A EMERGENCIAS INFORMATICAS ➢
Se define define como como situac situación ión de emerge emergenci ncia a inform informáti ática, ca, aquell aquella a inciden incidencia cia que impide impide continuar con el procesamiento de información y que ya sea por necesidades técnicas o porque su ocurrencia es en horas no laborales, no se le puede dar solución en el plazo requerido sin la utilización de perfiles o herramientas de excepción.
➢
No toda incidencia deberá ser tratada como una situación excepcional. Queda bajo la responsabilidad de quien autoriza y quien utiliza las herramientas y perfiles de excepción, justificar con posterioridad la calificación de la emergencia o incidente.
CONTINGENCIAS INFORMATICAS ➢
➢
➢ ➢
Con el objetivo de garantizar la continuidad en el funcionamiento de los Componentes Tecnoló ecnológic gicos os de XXXXXX XXXXXXXX XX , deberá deberá existir existir un Plan Plan de Contingen Contingencia cia que permit permita a reaccionar ante eventos no esperados; ya sea por efectos de la naturaleza o por actos humanos (robo, sabotaje, terremoto, incendio, inundación entre otros). Se entiende por Plan de Contingencia toda acción administrativa y/o operacional tendiente a supe supera rarr even evento toss que inte interr rrum umpa pan n el norm normal al func funcio iona nami mien ento to de los los Comp Compon onen ente tess Tecnológicos ecnoló gicos de XXXXXXXX . El área de Seguridad Seguridad Informática Informática deberá establecer establecer períodos y responsables responsables para efectos de actualizar, mantener y probar este Plan de Contingencia. La elabor elaboraci ación ón de este este Plan Plan de Contin Contingen gencia cia será será respons responsabi abilid lidad ad de la Gerenc Gerencia ia de Sistemas.