Poltica del Sistema Gestin de Seguridad de Informacin SGSI

Generalidades La informacin es un recurso que, como el resto de los activos, tiene valor para el Organismo y por consiguiente debe ser debidamente protegida. Las Polticas de Seguridad de la Informacin protegen a la misma de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de informacin, minimizar los riesgos de dao y asegurar el eficiente cumplimiento de los objetivos del Organismo. Es importante que los principios de la Poltica de Seguridad sean parte de la cultura organizacional. Para esto, se debe asegurar un compromiso manifiesto de las mximas Autoridades del Organismo y de los titulares de Unidades Organizativas para la difusin, consolidacin y cumplimiento de la presente Poltica. 1. OBJETIVOS: Proteger los recursos de informacin de la Organizacin y la tecnologa utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad y confiabilidad de la informacin. La presente Poltica de Seguridad de los Recursos Informticos tiene el propsito de gestionar adecuadamente la seguridad de la informacin, los sistemas informticos y el ambiente tecnolgico de ______________________________ Es importante que los principios de la Poltica de Seguridad sean parte de la cultura organizacional, por lo tanto se debe asegurar un compromiso manifiesto de las mximas Autoridades de la organizacin y de los jefes de oficinas para la difusin, consolidacin y cumplimiento de esta poltica. 2. ALCANCE El alcance del SGSI es de sistemas El acceso a los diferentes sistemas de informacin y/o tecnologas informticas que existen en _________________ conforma las herramientas para mejorar la eficiencia en la prestacin de las actividades y generan una correlativa responsabilidad a todos los usuarios de dichos elementos. Por lo tanto, las polticas de seguridad debern ser conocidas y cumplidas por todo el personal de la organizacin en todas sus reas, tanto se trate de personal administrativo o tcnico, sea cual fuere su nivel jerrquico que utilice elementos informticos, cualquiera fuere la relacin contractual que lo uniere con la organizacin. Se aplicar a la utilizacin tanto de los sistemas software, a los equipos informticos (computadoras, impresoras, etc.), as como tambin a los recursos de la Red de ________________, ms especficamente al acceso y operacin de dicha red y al uso correcto de Internet (navegacin, correo electrnico, etc.) cualquiera sea el horario en que se efecte. Cualquier situacin que pudiere plantearse y que no se encuentre prevista en el presente reglamento, en razn de los continuos avances tecnolgicos, quedar a consideracin del rea de sistemas. 3. DISPOSICIONES GENERALES En razn de que actualmente, __________________ cuenta con un parque informtico , resulta necesario establecer una poltica de seguridad para proteger a los equipos de software poco confiable, especificando qu software est autorizado para ser ejecutado en una computadora, y prevenir la instalacin no autorizada de software ilegal en ____________________.

3.1. Instalacin de software El software que deber instalarse por defecto en todos los equipos en _______________es el siguiente: Sistema Operativo. Antivirus Antispyware Microsoft Office. Cliente de Correo Electrnico, en el caso de usuarios con cuentas de correo oficial y/o usuarios autorizados. Sistemas de de gestin administrativa EASYWIN, si correspondiera. Sistemas de control de asistencia y acceso visual asist DMS, si correspondiera Sistema de gestin de Recursos Humanos SYGNUS, si correspondiera Software Alcatel OmniPCX Office, si correspondiera Software Alcatel PIMphony, si correspondiera Producto que gestione base de datos, si correspondiera.

Empleo de software adicional. El usuario deber solicitar la autorizacin del gerente del rea que corresponde para la instalacin de cualquier tipo de paquetes de software adicional requerido para su trabajo. La instalacin del mismo ser efectuada por el personal informtico dependiente del rea de sistemas, previa verificacin de los requerimientos necesarios para su instalacin y adems del completo licenciamiento del mismo si as lo requiere el producto. Asimismo, deber contarse 3.2. Cuentas de Usuario: Identificadores y contraseas El nombre de usuario (identificador) y su correspondiente contrasea proveen acceso a una cuenta de un usuario de la red de ________________ y a los permisos asociados a ella. El usuario debe tener una cuenta de red para obtener acceso a los recursos compartidos de la red. La contrasea no debe hacer referencia a ningn concepto, objeto o idea reconocible. Por tanto, se debe evitar utilizar en las contraseas fechas significativas, das de la semana, meses del ao, nombres de personas, telfonos, etc. En caso que el sistema no lo solicite automticamente, es preferible que el usuario cambie la contrasea asignada la primera vez que realiza un acceso vlido al sistema, y actualizarla en lapsos no mayores a los 2 meses. Todos los usuarios con acceso a un sistema de informacin, dispondrn de una nica autorizacin de acceso compuesta de nombre de usuario y contrasea. Las cuentas de usuario comunes no cuentan con los permisos necesarios para la administracin de los equipos de trabajo instalado, es decir, nicamente les permite hacer uso de los programas comunes instalados en la computadora como son programas de oficina, sistema operativo y

servicios bsicos como impresin, correo, etc. Slo el personal informtico dependiente de la Secretara de Informacin Jurdica, puede realizar tareas propias de un administrador del equipo (configuracin de dispositivos, agregar o quitar programas, agregar o eliminar hardware, etc.) A todos los usuarios de red y equipos se les asignar un nombre normalizado y unificado. 4. POLTICAS de RESTRICCIN de los RECURSOS INFORMTICOS 4.1 Uso Aceptable Se acepta que los usuarios aprovechen en forma limitada los elementos informticos para un uso personal que derive en su mejor capacitacin, jerarquizacin y/o especializacin en sus conocimientos, prcticas y habilidades o para aprovechar los beneficios de la Informtica. El uso aceptable no podr interferir con las actividades o funciones que el usuario cumple, ni con la misin y gestin oficial del organismo o dependencia. Este uso personal podr hacerse siempre que el recurso se encuentre disponible y no exista otro usuario que precise emplear el recurso para sus tareas laborales. El uso aceptado no se considera un derecho del usuario y se encuentra sujeto al estricto control permanente de la autoridad de aplicacin y de la autoridad del organismo donde el usuario desempea sus funciones. El uso aceptado puede ser controlado, revocado o limitado en cualquier momento por razn de la funcin, por cuestiones operativas y/o de seguridad de la Red ya sea por la autoridad de aplicacin y/o por los funcionarios responsables del organismo. No se considera uso aceptable aquel que demande un gasto adicional para el organismo, excepto el que derive del uso normal de los recursos informticos. Bajo ninguna circunstancia el uso de los recursos informticos por parte de los usuarios deber influir de manera negativa en el desempeo, la imagen, en las tareas o generar responsabilidades para el Poder Judicial. 4.2. Usos Indebidos Se definen expresamente como usos indebidos los siguientes: Modificar o reubicar equipos de computacin, software, informacin, perifricos y/o cualquier otro medio de soporte de informacin (discos compactos, disquetes, cintas, etc.) sin la debida autorizacin de la gerencia respectiva, y conocimiento del rea de sistemas. Modificar, alterar y/o borrar, sin las autorizaciones correspondientes, la informacin o las configuraciones de sistemas operativos o los aplicativos instalados por las personas autorizadas para tal efecto. Transgredir o eludir las verificaciones de identidad u otros sistemas de seguridad; Realizar cualquier actividad de recreacin personal o de promocin de intereses personales (tales como creencias religiosas, hobbies, etc.); Instalar o conectar cualquier equipamiento no autorizado; Acceder al cdigo fuente de una obra de software sin autorizacin explcita del autor (rea de software y aplicaciones) con la finalidad de modificarlo;

Alterar, falsificar o de alguna otra forma usar de manera fraudulenta los archivos, permisos, documentos de identificacin, u otros documentos o propiedades; Leer informacin o archivos de otros usuarios sin su permiso; Difundir indebidamente y/o indiscriminadamente la informacin privada o pblica a que tuviere acceso con motivo de la funcin o actividad que desempea; Intentar obtener otros derechos o accesos distintos a aquellos que les hayan sido asignados. Intentar acceder a reas restringidas de los Sistemas de Informacin. Intentar distorsionar o falsear los registros de los Sistemas de Informacin. Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos. Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo de otros Usuarios, o daar o alterar los Recursos Informticos. Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por el responsable del organismo. Todo el personal que accede a los Sistemas de Informacin del Poder Judicial debe utilizar nicamente las versiones de software facilitadas por personal autorizado del rea competente y siguiendo sus normas de utilizacin. 4.3. Usos Prohibidos La sustraccin de equipos o perifricos informticos, y/o cualquier otro medio de soporte de informacin (discos compactos, disquetes, cintas, etc.) constituyen un delito de accin pblica. Se encuentra expresamente prohibido el uso de la Red o de cualquier recurso informtico que infrinja normas nacionales o provinciales, causen dao o perjudiquen al Poder Judicial o a tercero. Se encuentra especialmente prohibido el uso de cualquier recurso informtico para: Grabar, modificar o borrar software, informacin, bases de datos o registros de la organizacin, que no estn incluidas como tareas propias del usuario. Inferir cualquier dao a los equipos o a la informacin, las configuraciones de sistemas operativos o los aplicativos que se encuentren en ellos instalados; Acceder sin autorizacin a los sistemas de informacin de los diferentes organismos; Obtener cualquier tipo de ganancia econmica personal; Revelar o compartir contraseas de acceso, propias o de terceros, con otros usuarios as como el uso de la identificacin, identidad, firma electrnica o digital de otro usuario; Enviar cualquier transmisin de datos en forma fraudulenta; Introducir en los Sistemas de Informacin o la Red contenidos obscenos, amenazadores, inmorales u ofensivos; Utilizar cualquier sistema de correo o cualquier tipo de comunicacin electrnica con el propsito de revelar informacin privada de otras personas, sin su consentimiento;

Utilizar cualquier sistema de correo electrnico o cualquier tipo de comunicacin electrnica con el propsito de daar o perjudicar de alguna manera los recursos informticos; Lanzar cualquier tipo de virus, gusano, macros, applets, controles ActiveX o cualquier otro dispositivo lgico o secuencia de caracteres cuya intencin sea hostil, destructiva, o que afecte directamente en el funcionamiento adecuado de los diferentes sistemas y recursos informticos; Realizar cualquier actividad contraria a los intereses de ____________, tal como publicar informacin reservada, acceder sin autorizacin a recursos o archivos o impedir el acceso a otros usuarios mediante el mal uso deliberado de recursos comunes; Alterar, falsificar o de alguna otra forma usar de manera fraudulenta los archivos, permisos, documentos de identificacin u otros documentos o propiedades; Acceder, descargar, transmitir, distribuir o almacenar videos, msica, imgenes, documentos y/o cualquier otro software o archivo cuya finalidad no se ajuste a la responsabilidad laboral de las funciones conferidas al agente; Violar cualquier ley o norma provincial o nacional, respecto al uso de los sistemas de informacin as como tambin realizar cualquier conducta ilegal contraria a la legislacin aplicable de cualquier pas al que se pueda tener acceso por la Red. 4.4. Responsabilidades Ningn usuario debe usar la identificacin, identidad, firma electrnica, firma digital o contrasea de otro usuario, aunque dispongan de la autorizacin del propietario. Los usuarios de la red deben tomar los recaudos y la precaucin para mantener su cuenta segura, es decir que no deben revelar bajo ningn concepto su contrasea o identificacin a otro, a excepcin en casos que deban facilitarse para la reparacin o mantenimiento de algn sistema o equipo. En este caso y en forma estrictamente circunstancial, slo deber hacerlo al personal tcnico o informtico debidamente identificado, con la posibilidad que posteriormente dicho agente solicite al rea tcnica responsable, la modificacin de claves, contraseas u otro tipo de elemento de seguridad que implique riesgo de acceso por un tercero a los diferentes sistemas de informacin. Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y contrasea) est siendo utilizado por otra persona, debe proceder al cambio de su contrasea y contactar con el rea de Asistencia y Capacitacin Tcnica a Usuarios para notificar la incidencia. Es responsabilidad del usuario el cuidado y buen trato de los recursos informticos asignados. 4.5. Derechos y Deberes de los usuarios Son derechos de los usuarios: Recibir ayuda y asesoramiento por parte del personal del servicio tcnico correspondiente. Formular las sugerencias que estimen oportunas para mejorar el servicio. Disponer de los recursos provistos por _______________, dentro de las normas correspondientes, para la gestin y la carga de trabajo asignados. Acceder a informacin relacionada con su funcin. Utilizar el correo electrnico, listas de discusin y otros servicios, locales o de internet, siempre que tengan relacin directa con la funcin del usuario en el organismo.

Utilizar los recursos informticos en forma limitada para su capacitacin, sin que dicho uso interfiera con las actividades o funciones que el usuario cumple, ni con la misin y gestin oficial del organismo o dependencia. Acceder a los cursos de capacitacin y actualizacin que los Organismos implementen en funcin de las actividades y labores que los usuarios desarrollen. Utilizar los recursos informticos de conformidad con las presentes normas. Son deberes de los usuarios: Notificar al personal informtico de los cambios de funciones dentro del mismo organismo, o su traslado a otro, a fin de asignarle nuevos permisos o nuevos sistemas segn corresponda. Contribuir al cuidado y conservacin de las instalaciones, equipos y sistemas. Notificar al personal del servicio tcnico de las anomalas que se detecten, tanto de software como de hardware. Respetar las indicaciones que reciban de los responsables de cada rea respecto al uso y funcionamiento de los equipos. El cumplimiento de las normas y condiciones establecidas en la presente normativa. 5. POLTICAS de SEGURIDAD FSICA y AMBIENTAL 5.1 Control de acceso fsico Controlar y limitar el acceso a las instalaciones de procesamiento de informacin, exclusivamente a las personas autorizadas. Cuando se trate de instalaciones de procesamiento de informacin confidencial, slo bajo la vigilancia de personal autorizado, puede el personal de cualquier organismo entrar a dichas instalaciones, y durante un perodo de tiempo corto. 5.2 Ubicacin y proteccin del equipamiento informtico El equipamiento ser ubicado y protegido de tal manera que se reduzcan los riesgos ocasionados por amenazas y peligros ambientales, y las oportunidades de acceso no autorizado, teniendo en cuenta los siguientes puntos: Ubicar el equipamiento en un sitio donde se provea un control de acceso adecuado (puertas con cerraduras, ventanas con trabas, etc.). Adoptar controles adecuados para minimizar el riesgo de amenazas potenciales por: robo o hurto, incendio, humo, polvo, vibraciones, inundaciones o filtraciones de agua, efectos qumicos, radiacin electromagntica, derrumbes, interferencia en el suministro de energa elctrica (cortes de suministro, variacin de tensin). En este ltimo caso, desconectar de la alimentacin principal nicamente el equipamiento y esperar hasta el restablecimiento normal de la misma. Nunca desconectar ninguna ficha del gabinete estando encendido el equipo . Revisar regularmente las condiciones ambientales para verificar que las mismas no afecten de manera adversa el funcionamiento del equipamiento informtico. 5.3 Mantenimiento del equipamiento informtico

Slo personal autorizado y calificado, puede brindar mantenimiento y llevar a cabo reparaciones en los equipos y/o perifricos informticos. En el caso de que la reparacin implique el formateo y/o reemplazo de disco rgido, se deber realizar previamente las respectivas copias de resguardo, salvo en el caso de que dicho dispositivo se encuentre inutilizado, y sea imposible realizarlas. 5.4 Copias de Seguridad de la informacin Los usuarios podrn solicitar, cuando lo consideren necesario, la realizacin de copias de resguardo de la informacin sensible o crtica para el Organismo. Este requerimiento deber ser efectuado al personal dependiente del rea de sistemas. 5.5. Polticas de Escritorios y Pantallas Limpias Se deber adoptar una poltica de escritorios limpios para proteger los dispositivos de almacenamiento removibles y una poltica de pantallas limpias en los equipos informticos, a fin de reducir los riesgos de acceso no autorizado, prdida y dao de la informacin, tanto durante el horario normal de trabajo como fuera del mismo. Se aplicarn los siguientes lineamientos: a) Almacenar en un mobiliario seguro bajo llave, cuando corresponda, los medios informticos con informacin sensible o crtica del Organismo, informacin clasificada como confidencial cuando no estn siendo utilizados, especialmente fuera del horario de trabajo. b) Evitar dejar abiertos documentos, unidades de almacenamiento de datos y sistemas informticos, en el caso de ausentarse del puesto de trabajo con el fin de preservar y garantizar la integridad y seguridad de los mismos. c) Retirar inmediatamente la informacin sensible o confidencial, una vez impresa. 5.6. Ingreso y Retiro de bienes informticos La introduccin de cualquier equipo o perifrico informtico ajeno a ZINSA, no podr realizarse sin previa autorizacin de la Gerencia del rea donde corresponde. Cualquier equipo o perifrico informtico perteneciente a zinsa, como as tambin aquellos ajenos al mismo pero que estn autorizados a funcionar, no podrn ser retirados de la Organizacin sin autorizacin formal. 6. OTRAS RESTRICCIONES 6.1 Provisin de insumos informticos Las solicitudes de insumos informticos como ser disquetes, tinta para impresora (cintas/ cartuchos/toners), discos compactos (CD), resmas de papel continuo, etc., debern realizarse al rea de almacn, con autorizacin formal de la jefatura del interesado. 6.2. Asistencia Informtica Los usuarios debern canalizar las peticiones de asistencia o soporte tcnico al rea de Sistemas, dependiente de la gerencia general. 6.3 Monitorizacin

Los usuarios que utilicen equipos del Organismo para acceder a la red e Internet estn sujetos a ser monitoreados, en sus actividades por personal de sistemas o redes, autorizado a tal efecto. Dicha tarea se realizar a travs de los mecanismos formales y tcnicos que se consideren oportunos, ya sea de forma peridica o cuando por razones especficas de seguridad o del servicio resulte conveniente, con el fin de velar por el correcto uso de los mencionados recursos. El simple uso de los servicios de Red implica el consentimiento a este monitoreo por cuestiones operativas o de seguridad, debiendo los empleados tener en cuenta que la mayora de las sesiones no son privadas. La informacin personal del Usuario a la que se tenga acceso como consecuencia de las actividades de control, mejor funcionamiento o seguridad, no podr ser difundida pblicamente excepto que se trate de un uso no autorizado, indebido o prohibido y a los estrictos fines de iniciar la pertinente denuncia administrativa y/o judicial.

7. TRMINOS y DEFINICIONES Seguridad de la Informacin que se entiende como la preservacin de: Confidencialidad: se garantiza que la informacin sea accesible slo a aquellas personas autorizadas a tener acceso a la misma. Integridad: se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados con la misma, toda vez que lo requieran. Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que est sujeto el Organismo. Confiabilidad de la Informacin: es decir, que la informacin generada sea adecuada para sustentar la toma de decisiones y la ejecucin de las misiones y funciones. Informacin: Se refiere a toda comunicacin o representacin de conocimiento como datos, en cualquier forma, con inclusin de formas textuales, numricas, grficas, cartogrficas, narrativas o audiovisuales, y en cualquier medio, ya sea magntico, en papel, en pantallas de computadoras, audiovisual u otro. Sistema de Informacin: Se refiere a un conjunto independiente de recursos de informacin organizados para la recopilacin, procesamiento, mantenimiento, transmisin y difusin de informacin segn determinados procedimientos, tanto automatizados como manuales. Tecnologa: Se refiere al hardware y software operados por el Organismo o por un tercero que procese informacin en su nombre, para llevar a cabo una funcin propia del Organismo, sin tener en cuenta la tecnologa utilizada, ya se trate de computacin de datos, telecomunicaciones u otro tipo. Activos: Recursos de informacin: bases de datos y archivos, documentacin de sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, informacin archivada, etc.

 Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc. Activos fsicos: equipamiento informtico (procesadores, monitores, computadoras porttiles, mdems), equipos de comunicaciones (routers, PABXs, mquinas de fax, contestadores automticos), medios magnticos (cintas, discos), otros equipos tcnicos (relacionados con el suministro elctrico, unidades de aire acondicionado), mobiliario, lugares de emplazamiento, etc. Servicios: servicios informticos y de comunicaciones, utilitarios generales (calefaccin, iluminacin, energa elctrica, etc.). Usuario: Todas aquellas personas que utilicen sistemas software, equipos informticos y los servicios de Red provistos por el Poder Judicial.