MANUAL DE SEGURIDAD

INFORMATICA DEL
TRIBUNAL REGISTRAL
ADMINISTRATIVO

AGOSTO DE 2010

1.

EXPOSICIN DE MOTIVOS

Ante el esquema de globalizacin que las tecnologas de la informacin han

originado principalmente por el uso masivo y universal de la Internet y sus
tecnologas, las instituciones se ven inmersas en ambientes agresivos donde el
delinquir, sabotear, robar se convierte en retos para delincuentes informticos
universales conocidos como Hackers, Crakers, etc., es decir en transgresores.
Conforme las tecnologas se han esparcido, la severidad de daos y su
frecuencia las han transformado en un continuo riesgo, que obliga a las entidades a
crear medidas de emergencia y polticas definitivas para contrarrestar estos ataques y
transgresiones.
La seguridad de las instituciones en muchos de los pases se ha convertido en
cuestin de seguridad nacional, por ello contar con un documento de polticas de
seguridad es imprescindible, y debe plasmar mecanismos confiables que con base en
la poltica institucional proteja los activos del Centro.
Los requerimientos de seguridad que involucran las tecnologas de la
informacin, en pocos aos han cobrado un gran auge, y ms an con las de carcter
globalizador como los son la de Internet y en particular la relacionada con el Web, la
visin de nuevos horizontes explorando ms all de las fronteras naturales, situacin
que ha llevado la aparicin de nuevas amenazas en los sistemas computarizados.
De esta manera, las polticas de seguridad informtica del Tribunal Registral
Administrativo emergen como el instrumento para concientizar a sus miembros
acerca de la importancia y sensibilidad de la informacin y servicios crticos, de la
superacin de las fallas y de las debilidades, de tal forma que permiten al Tribunal
cumplir con su misin.
El proponer esta poltica de seguridad requiere un alto compromiso con la
institucin, agudeza tcnica para establecer fallas y deficiencias, constancia para
renovar y actualizar dicha poltica en funcin del ambiente dinmico que nos rodea.
2.

OBJETIVO:

Estas polticas estn dirigidas a todos aquellos funcionarios del Tribunal

Registral Administrativo, que tienen alguna responsabilidad con el uso y
administracin de los recursos informticos institucionales (equipos, software,
sistemas de informacin, entre otros). Siendo el objetivo:
Brindar a los usuarios de los recursos informticos un medio de fcil
consulta que conozcan las principales normas de seguridad informtica que
deben ser observadas en forma permanente y para lo que se requiere una
revisin peridica por parte del personal responsable.

3.

ASPECTOS GENERALES

a. Es obligacin de todos y cada uno de los funcionarios del Tribunal Registral

Administrativo el cumplimiento de las normas contenidas en el Manual de
Seguridad Informtica.
b. Es responsabilidad de la Jefatura hacer del conocimiento del personal a su
cargo las polticas y normas de seguridad informtica vigentes en la
Institucin y velar por su estricto cumplimiento.
c. Los usuarios son responsables de utilizar los recursos informticos de acuerdo
con los derechos que se les asignen de conformidad con sus funcionarios de
conocer y cumplir las regulaciones en seguridad informtica.
d. El incumplimiento de las polticas, normas o procedimientos de seguridad
informtica es razn para la aplicacin del Rgimen disciplinario vigente.
4.

CONCEPTO DE POLTICAS DE SEGURIDAD INFORMTICA

(PSI)

Una poltica de seguridad informtica es una forma de comunicarse con los

usuarios. Las polticas de seguridad informtica (PSI) establecen el canal formal de
actuacin del personal, en relacin con los recursos y servicios informticos,
importantes de la organizacin.
No se trata de una descripcin tcnica de mecanismos de seguridad, ni de una
expresin legal que involucre sanciones a conductas de los empleados. Es ms bien
una descripcin de lo que deseamos proteger y el por qu de ello. Cada PSI es
consciente y vigilante del personal por el uso y limitaciones de los recursos y
servicios informticos crticos de la compaa.

5.

POLTICAS DE SEGURIDAD PARA EL TRIBUNAL REGISTRAL

ADMINISTRATIVO.

Las Tecnologas de Informacin se encargan de brindar servicio directo al

usuario, por el mbito de competencia que tiene cada uno de ellos en materia de
informtica, desde el equipamiento, instalacin, alteracin, cambio de lugar,
programacin, etc; por lo que ha sido necesario emitir polticas particulares para la red
del Tribunal, que es el nombre oficial de un conjunto de recursos y facilidades
informticas, de la infraestructura de telecomunicaciones y servicios asociados a ellos.
As pues este apartado contiene una clasificacin de estas polticas, y son:

6.

CONTROLES DE ACCESO A LA RED, EQUIPOS DE CMPUTO

Y SISTEMAS.

a. Es responsabilidad de la Direccin Administrativa asegurar una adecuada

segregacin de funciones dentro de su estructura organizacional y que las
funciones crticas en el rea informtica estn adecuadamente asignadas al
personal calificado.
b. Es responsabilidad de la Direccin Administrativa asegurar que los derechos
de acceso de sus funcionarios a los sistemas de informacin y recursos
informticos, estn de acuerdo y permanezcan actualizados con el nivel de
autorizacin asociado a sus funcionarios y que le permitan desarrollar
adecuadamente su trabajo.
c. Cada usuario debe tener una identificacin nica dentro del sistema de control
de accesos. El cdigo de usuario y password deben ser nicos.
d. Todo funcionario ser responsable de las actividades y transacciones que sean
realizadas con su cdigo de usuario.
e. Los derechos de acceso de los usuarios a las transacciones especficas de cada
uno de los sistemas de informacin deben estar formalmente autorizados por la
Direccin Administrativa bajo cuya responsabilidad trabaja el usuario.
f. Los derechos de acceso deben ser asignados de tal forma que no interfieran
con las actividades o datos privados de otros usuarios.
g. Para garantizar una mayor confidencialidad y seguridad de su password y
cdigo de usuario, deber observar lo siguiente:

Los password y cdigos de usuario no podrn tener una longitud

menor de la definida como estndar en cada caso. No se deben
utilizar espacios en blanco.(7 caracteres)

Deben contener tanto caracteres alfabticos como numricos.

Deben contener al menos 4 (cuatro) caracteres distintos entre s.

No deben ser fcilmente descifrados, ni deben revelarse bajo ninguna

circunstancia.

No se deben utilizar password previamente utilizados.

El cdigo de usuario y el password deben ser diferentes entre s.

h. Nunca se deben dejar cdigos de usuario y password escritos en lugares

donde puedan ser accesados por terceros (por ejemplo en la carpeta del escritorio,
pantalla del equipo, etc.).
i. Los cdigos de usuario y password solo deben ser utilizados por el
funcionario al que le fueron asignados. Esta totalmente prohibido que un
funcionario autorice el uso de clave a terceros.
j. Al asignarse por primera vez el password a un funcionario debe realizarse su
cambio en forma inmediata. La Direccin Administrativa velar por el
cumplimiento de esta norma.

k. Cada sistema debe contener la informacin necesaria para identificar cada

cdigo de usuario con el funcionario responsable de su uso.
l. Debe mantenerse activo el cambio automtico de password.
m. Es responsabilidad de todos los funcionarios cambiar su password al menos
cada seis meses.
n. Debe dejarse evidencia del cambio peridico de password en la bitcora
establecida para este fin, cada vez que se realice.
o. Debe mantenerse activo el detector de intrusos al equipo de cmputo,
restringiendo el nmero de intentos de ingresos fallidos a 3 (tres). La reactivacin
del cdigo de usuario debe ser autorizada por la Jefatura.
p. Todo funcionario es responsable de reportar inmediatamente las deficiencias
de seguridad que observe en los sistemas, tanto a su superior jerrquico como a la
Direccin Administrativa.
q. La Direccin Administrativa a travs de la empresa contratada para darle el
mantenimiento preventivo y correctivo al equipo de cmputo debe revisar al
menos cada 2 (dos) meses los derechos de accesos conferidos a los usuarios de los
sistemas bajo su responsabilidad (incluye personal de la propia oficina, personal
tcnico, Auditor y cualquier otro que lo requiera), verificando que los derechos
asignados se ajustan a las funciones y tareas de cada funcionario.
r. La Direccin Administrativa es responsable de dejar en suspenso los derechos
de acceso de aquellos funcionarios que deban ausentarse de sus labores por ms
de 5 (cinco) das hbiles (vacaciones, incapacidad, permisos y otros). Para tal
efecto, el Jefe respectivo no autorizar el goce de vacaciones, hasta que se
confirme con la Direccin Administrativa que los derechos fueron suspendidos
temporalmente hasta su regreso.
s. Los usuarios no deben dejar desatendidas las estaciones de trabajo. Todo
funcionario es responsable de desactivar las aplicaciones (cerrarlas) cada vez que
se ausente de su puesto de trabajo.
t. El tiempo de acceso a los sistemas debe permitirse dentro de un horario
particular de acuerdo con las necesidades de la oficina.
u. Los cdigos de usuario que permanezcan inactivos por ms de 30 (treinta) das
deben quedar en suspenso. Podrn ser activados nuevamente mediante solicitud
formal del funcionario facultado para tal efecto; siendo que esta totalmente
prohibido el uso de otro servidor el equipo salvo autorizacin expresa de la
Direccin Administrativa.
v. Los privilegios especiales del sistema operativo o software utilitario, que
permitan examinar el contenido de los archivos de otros usuarios, deben
restringirse nicamente a aquellos usuarios responsables de la administracin de la
red o de su seguridad, siempre que hayan recibido el entrenamiento adecuad y en
caso estrictamente necesario previo acuerdo de los Miembros del Tribunal.
w. Todos los sistemas operativos multiusuarios deben disponer de 2 (dos)
funcionarios, un responsable y su sustituto, claramente identificados y
debidamente autorizados, que acten como los administradores o responsables del
mismo y que poseen derecho de acceso a los comandos privilegiados del sistema
operativo, entre ellos cambiar el estado de seguridad del sistema. De tal forma

que est plenamente identificado quien realiza las tareas asociadas a estas
facultades, evitando que los privilegios sean compartidos por un mayor nmero de
usuarios.
x. Las modificaciones a los datos e informacin de los sistemas en produccin
deben estar estrictamente restringidas a las transacciones y procesos expresamente
diseados para tal fin.
y. Al terminar la relacin laboral de cualquier funcionario (despido, renuncia,
traslado, etc.), ser responsabilidad de la Direccin Administrativa revocar sus
derechos de acceso y revisar sus archivos y dems recursos, para disponer lo
pertinente sobre su custodia, uso o eliminacin.
En caso de no mediar
requerimiento explcito por parte de la Direccin Administrativa, los archivos y
directorios de dicho funcionario deben ser borrados como mximo 6 (seis)
semanas despus de su retiro.
z. Se debe mantener en un sobre sellado y bajo la responsabilidad de la Direccin
Administrativa un cdigo de usuario de contingencia y respectivo password que
posea todos los privilegios del Administrador de la Red, Administrador de Base
Datos u otros, para ser utilizado solamente en caso de emergencia. En caso de
requerirse su uso debe quedar debidamente registrado. El password debe ser
cambiado peridicamente.
aa. El acceso a las bitcoras del sistema debe estar restringido al personal
autorizado.
bb.
Los registros de eventos sensibles contenidos en la bitcora que pueden
comprometer la confidencialidad y confiabilidad de los datos y los procesos deben
estar restringidos a personal autorizado (Jefaturas, Auditor) y deben ser revisados
peridica y oportunamente por la Direccin Administrativa o por quin ste
designe.
cc. La instalacin y uso de los sistemas de informacin se rigen por el reglamento
de uso de la Red de Tribunal Registral Administrativo y por las normas y
procedimientos establecidos por la Direccin Administrativa.
dd.
Los servidores de bases de datos administrativos son delicados, por lo
que se prohben los accesos a cualquiera que no haya sido autorizado por la
Direccin Administrativa.
ee. El control de acceso a cada sistema de informacin del Tribunal Registral
Administrativo ser determinado por el rea responsable de generar y procesar
los datos involucrados.
ff. Tendr acceso a los sistemas administrativos solo el personal del Tribunal
Registral Administrativo que tenga la autorizacin de la Jefatura del rea
respectiva.
gg.
Todos los sistemas programticos (programas, bases de datos, sistemas
operativos, interfases) desarrollados con o a travs de los recursos de Tribunal
Registral Administrativo se mantendrn como propiedad de la institucin
respetando la propiedad intelectual del mismo.

hh.
Es obligacin de todos los usuarios que manejen informacin masiva,
mantener el respaldo correspondiente de la misma ya que se considera como un
activo de la institucin que debe preservarse.
ii. Los datos, las bases de datos, la informacin generada por el personal y los
recursos informticos de la institucin deben estar resguardados.
jj. Corresponder a la Direccin Administrativa promover y difundir los
mecanismos de respaldo y salvaguarda de los datos y de los sistemas
programticos, mismos que se mantendrn en un lugar fuera de las instalaciones
del Tribunal, debidamente acondicionado para dicho fin.
kk.
La Direccin Administrativa administrar los diferentes tipos de
licencias de software y vigilar su vigencia en concordancia con la poltica
informtica.
ll.
Esta prohibido la instalacin de dispositivos de salida que no hayan
sido aprobados previamente por la Direccin Administrativa.
7.

POLITICA DE RESPALDOS Y RECUPERACIN.

a.

La Direccin Administrativa en conjunto con la empresa responsable del

mantenimiento preventivo y correctivo del equipo de cmputo, definir el
personal que tendr la responsabilidad de realizar los distintos tipos de respaldos.
El personal no slo debe ser capaz de generar el respaldo, sino estar capacitado
para la recuperacin de la informacin en caso de ser necesario.

b.

Ser responsabilidad de cada usuario realizar el respaldo de su informacin, as

como de cada Jefatura de los archivos que sean de uso comn para el desarrollo
de sus actividades normales.

c.

En el respaldo de los datos debe considerar tanto los datos de la aplicacin

(archivos, bases de datos) como los dems elementos necesarios para asegurar la
prestacin de servicios, tales como el software de la aplicacin (programas) y
parmetros de operacin, documentacin complementaria a los procesos, software
de ambiente y otros utilitarios.

d. Debe crearse una programacin formal y sistemtica de los procesos de respaldo

(diarios, semanales, mensuales y anuales), adems se debe contar con
procedimientos de verificacin y supervisin de los procesos y del contenido de
los respaldos.
e. Todos los procesos de respaldo y recuperacin de informacin deben proveer los
elementos que evidencien la ejecucin del proceso, detalle del contenido de los
mismos, as como deficiencias en caso de existir.
f. Los medios de respaldo deben ser protegidos de borrados accidentales a travs del
uso de medios fsicos y lgicos de carcter preventivo (lock en los diskettes,
otros).
g. Los medios de respaldo deben disponer de etiquetas externas e internas, as como
una identificacin permanente, que permita determinar fcil y confiablemente su
contenido. Las etiquetas deben tener informacin de su contenido, nombre, fecha
del respaldo y quien lo realiz.

h. Los respaldos de datos y dems elementos complementarios, deben estar

resguardados en sitios que dispongan de condiciones de acceso restringido y de
medio ambiente apropiado a los medios utilizados, as como para hacer frente con
xito a eventos contingentes como incendios, inundaciones u otros.
i. Antes de proceder a la restauracin de datos sensitivos o crticos a partir de un
respaldo se debe realizar una copia de los mismos para minimizar efectos de
corrupcin o daos de los datos originalmente respaldados.
j. Se debe generar una copia de todos los respaldos, los cuales se custodiarn en un
sitio alterno, que cumpla con las caractersticas y proteccin ambiental similares al
sitio principal. La proximidad entre el sitio principal y el alterno no debe ser
menor a 15 Kms. y debe disponer al menos de dos vas de acceso distintas.
k. Se deben tomar las medidas de seguridad necesarias para el traslado de los medios
de respaldo al sitio alterno, a fin de garantizar no solo que llegarn a su destino
sino la integridad de los medios.
l. Cada tres meses se debe verificarse la validez de los respaldos custodiados en el
sitio principal y en sitio alterno. Se debe verificar la condicin de los medios de
almacenamiento y si los datos pueden ser restaurados oportuna y confiablemente.
Peridicamente debe realizarse inventario de los medios de respaldo (mnimo
cuatro veces al ao). Se debe utilizar formulario diseado para este fin.
m. Los equipos y medios de respaldo de las distintas plataformas tecnolgicas deben
obedecer a un estndar para facilitar el intercambio de datos, su control y una
mayor economa de operacin. Dicho estndar ser el definido por la Direccin
Administrativa con la empresa encargada del mantenimiento preventivo y
correctivo del equipo de cmputo.
n. Los equipos y los medios usados para el respaldo deben ser sometidos a un
mantenimiento preventivo (al menos una vez al meses) que asegure las
condiciones adecuadas del funcionamiento.
8.

SEGURIDAD DE REDES LOCALES Y MICROCOMPUTADORAS.

a.

La Direccin Administrativa debe definir un responsable para la administracin

de cada red LAN, cuyas funciones y tareas estn claramente definidas y
delimitadas con la empresa encargada del mantenimiento preventivo y
correctivo del equipo de cmputo.

b. Todo el equipo de cmputo (computadoras, estaciones de trabajo,

supercomputadoras, y equipo accesorio), que est o sea conectado a la Red del
Tribunal, o aquel que en forma autnoma se tenga y que sea propiedad de la
institucin, debe sujetarse a las normas y procedimientos de instalacin que emita
la Direccin Administrativa.
c. La Direccin Administrativa a travs del Encargado de Control de Activos deber
tener un registro de todos los equipos propiedad de Tribunal Registral
Administrativo y debidamente registrados en el SIBINET del Ministerio de
Hacienda, que tiene el nombre del funcionario que tiene a cargo el equipo.

d. La Direccin Administrativa coordinar con la con la empresa encargada del

mantenimiento preventivo y correctivo del equipo de cmputo, la realizacin de
estas tareas, as como la conservacin de su instalacin, la verificacin de la
seguridad fsica, y su acondicionamiento especfico a que tenga lugar. Para tal fin
debe emitir las normas y procedimientos respectivos.
e. Deben ser protegidos con medios fsicos (tales como candado, fajas u otros)
aquellos equipos o sus componentes que por su valor o exposicin pueden estar
sujetos a prdidas o sustraccin.
f. La adquisicin de los bienes (hardware y software) se realizar de conformidad
con las directrices y normativas tcnicas que establezca la Direccin
Administrativa.
g. Todos los equipos deben ser objeto de mantenimiento preventivo, de conformidad
con un cronograma preestablecido (se recomienda que sea cada tres meses). Se
debe utilizar el formulario diseado para este fin.
h. En los equipos de Tribunal Registral Administrativo nicamente se debe tener
instalado aquel software debidamente autorizado por la Direccin Administrativa
y para el que se disponga de las licencias de uso respectivo.
i. El software ambiental y aplicaciones deben ser actualizados de acuerdo con la
programacin que establece la Direccin Administrativa.
j. Las estaciones de trabajo, redes y otros medios que pueden ser afectados por virus
informticos, deben contar con software antivirus, el cual debe ser actualizado
peridicamente.
k. Est prohibido el uso del software y recursos informticos propiedad del Tribunal
Registral Administrativo para fines ajenos a las actividades propias de la
institucin.
l. La empresa encargada del mantenimiento preventivo y correctivo del equipo de
cmputo ser la responsable de administrar la red, o bien los equipos, segn los
trminos establecidos en la contratacin del servicio y deben asegurar que las
condiciones de medio ambiente en que operan stos se ajustan a las establecidas
por la Direccin Administrativa.
m. Se debe contar con documentacin actualizada sobre los componentes y
organizacin de las redes de Tribunal Registral Administrativo y de los recursos
asociados a stas, entre otros: enlaces y diapositivas de conexin fsicas,
protocolos de comunicaciones y direcciones IP.
n. Los requerimientos para la instalacin y actualizacin de redes deben ser
formalizados y controlados adecuadamente, asegurando que su ejecucin no
interfiera con la operacin normal de los servicios.
o. La empresa encargada del mantenimiento preventivo y correctivo del equipo de
cmputo ser la responsable de realizar revisiones peridicas para asegurar que
slo programacin con licencia est instalada en las computadoras de la
institucin.

9.

POLITICAS DE SEGURIDAD FSICA.

a. Debe restringirse el acceso fsico a las oficinas y reas de Tribunal Registral

Administrativo en las que se ubique equipo de cmputo en general y acceden y
manipulen informacin relevante (tales como el rea del servidor, equipo de
comunicaciones, reas del servicio al cliente donde se ubique equipo de cmputo
y otros). Debe determinarse un mtodo de control de acceso apropiado y acorde
con la estructura de cada oficina o rea, que garantice que solo personas
previamente autorizadas y debidamente identificadas puedan ingresar.
Las rutas de acceso deben ser limitadas. Se debe considerar espacios libres y
salidas de emergencia (las puertas deben abrir hacia fuera).
b. Las nuevas edificaciones o remodelaciones donde se ubique equipos de cmputo y
de comunicaciones deben considerar dentro de su diseo, los requerimientos de
seguridad que dicte la Direccin Administrativa.
c. Las medidas de seguridad fsica aplican a los funcionarios del Tribunal Registral
Administrativo y a terceras personas que por razones calificadas deben acceder
reas restringidas (funcionarios de otras dependencias, asesores, etc.)
d. Todos los funcionarios que laboren o visiten reas de acceso restringido, debern
portar el carn de identificacin suministrado por el Tribunal en un lugar
claramente visible.
e. Las personas ajenas a la Institucin que visiten reas restringidas deben portar una
identificacin y una autorizacin para transitar por dicho lugar.
f. Las personas ajenas a las reas restringidas deben ser dirigidas por el personal de
la misma rea cuando, en forma autorizada, transiten en ella. Esto incluye a
empleados de otras dependencias, consultores, familiares, proveedores y otros.
g. El ingreso y permanencia de personal externo por efectos de tareas de
mantenimiento, aseo y reparacin de equipos deber contar con la supervisin
permanente de un funcionario autorizado.
h. Cuando un funcionario extrave o le haya sido robada su identificacin de acceso
fsico a cualquier rea restringida, deber reportarlo a la Direccin Administrativa
y al superior jerrquico en forma inmediata.
i. Los funcionarios no deben permitir el ingreso de personas no autorizadas a reas
restringidas.
j. La informacin que por alguna razn se considera valiosa, crtica o sensible, no
debe estar en manos de un nico funcionario, por lo tanto, no debe permitirse que
un funcionario trabaje solo en reas que contienen esta clase de informacin. Este
tipo de informacin ser valorada por los Miembros del Tribunal.
k. El acceso a reas restringidas que manejan informacin sensible, crtica o valiosa
debe permitirse slo dentro del horario normal o con la debida autorizacin en
horario extraordinario.

l. Todo equipo de cmputo o de comunicaciones que deba ser trasladado de un

edificio hacia otro, debe tener la respectiva autorizacin, misma que ser
verificada por personal de vigilancia. Se debe utilizar formulario diseado para
este fin.
m. Los vigilantes, deben revisar el contenido de toda cartera, maleta, bolsa y otros
para prevenir la sustraccin de componentes de equipo de cmputo o de
informacin en medios magnticos o fsicos.
n. Cada dependencia que utilice el sistema de acceso electrnico a sus instalaciones,
deber solicitar peridicamente a la Direccin Administrativa u oficina
responsable, segn sea el caso, una lista de funcionarios con derechos de acceso
fsico a fin de garantizar que corresponden a los actualmente autorizados y para
que validen los derechos de acceso o bien realicen los ajustes pertinentes.
o. Cuando un funcionario termine su relacin laboral o sea trasladado, deber ser
reportado por su Superior Jerrquico a fin de que sea desactivado todo cdigo de
acceso por l conocido y utilizado. Dichos cdigos no podrn ser utilizados por
ningn otro funcionario.
p. Es responsabilidad de la Direccin Administrativa inhabilitar o gestionar la
inhabilitacin temporal de los derechos de acceso fsico para aquellos funcionarios
que se ausenten de sus puestos por un perodo mayor a 5 (cinco) das hbiles
(vacaciones, incapacidades, permisos, suspensiones, etc.). Ser responsabilidad
del Superior Jerrquico comunicar dichas ausencias.
q. Para un mejor control, es necesario mantener respaldada y archivada informacin
de los ltimos tres meses sobre las personas que ingresaron en las reas
restringidas y registros de las que comnmente ingresan. Adems, es necesario
mantener control de las personas que diariamente ingresan y salen, para facilitar
acciones en caso de tener que evacuar reas de acceso restringido.
r. La distribucin fsica de las oficinas de Tribunal Registral Administrativo debe
asegurar la proteccin de las computadoras, sistemas de comunicacin y equipo en
general de acceso no autorizado, para prevenir robos, accidentes, uso no
autorizado de equipos, informacin u otros.
s. En las reas de acceso restringido se debe mantener las puertas con llave y limitar
el acceso solo al personal autorizado.
t. Las reas de acceso restringido no deben utilizarse para custodiar suministros de
cmputo (cintas, papel, diskettes) o salvaguardar objetos personales o de valor
distinto a los requeridos en el rea misma, que puedan comprometer la seguridad.
u. Para efectos de seguridad, no se debe colocar rtulos que identifiquen los sitios
donde se ubican los servidores, el equipo de comunicaciones y otros equipos de
cmputo.
v. Las puertas de acceso a las reas restringidas deben permanecer siempre cerradas.
No podrn mantenerse abiertas mediante el uso de sillas, tacos de papel en las
cerraduras, llaves puestas en el llavn u otros objetos que obstruyan su cierre y
faciliten el acceso a personas no autorizadas.

10

w. Todas las dependencias de Tribunal Registral Administrativo debern mantener

un inventario actualizado de equipo de cmputo y de comunicaciones
(microcomputadoras, PC porttiles, impresoras, mdems, etc.), asignados bajo su
responsabilidad.
x. Los equipos de cmputo y de comunicaciones deben estar asignados a un
funcionamiento responsable, quien velar por el buen estado de los mismos y de la
infraestructura, asegurando que se les preste el oportuno y cuidadoso
mantenimiento, as como se realicen las pruebas de funcionalidad que
correspondan.
y. Se prohbe las actividades de fumar, beber o ingerir comidas en reas de cmputo
o en reas que as hayan sido delimitadas con tal prohibicin.
z. Los suministros de cmputo deben estar bajo la responsabilidad de un funcionario
a fin de garantizar su uso racional.
aa. Est prohibido introducir a las reas de trabajo elementos potencialmente
peligrosos para la seguridad de las personas, de los equipos de cmputo y de
comunicaciones de Tribunal Registral Administrativo, tales como armas,
explosivos, imanes u otros.
bb. Es responsabilidad de los funcionarios de Tribunal Registral Administrativo
cumplir con las directrices establecidas por la Direccin Administrativa para el
seguimiento de las plizas de seguros.
cc. La Direccin Administrativa es responsable de mantener en forma actualizada un
Esquema de Contingencias, situacin que coordinar con la empresa encargada
del mantenimiento preventivo y correctivo del equipo de cmputo. Este debe
incluir el detalle del inventario de recursos informticos asignados bajo su
responsabilidad, el detalle de los respaldos peridicos en existencia, un inventario
de sistemas crticos, nombres y nmeros de telfono u otro medio de localizacin
de personal asignado para atender situaciones de emergencia (gerente, agente,
personal de soporte tcnico, otros) y nmeros de telfonos de emergencia.
10.
POLTICAS DE ACCESO A INTERNET, INTRANET Y CORREO
ELECTRNICO
a.

El acceso a Internet, Intranet y Correo Electrnico, es un privilegio que provee la

Institucin a sus funcionarios, por lo tanto, es responsabilidad de cada usuario,
utilizar prudente y apropiadamente estas tecnologas.

b. Todo evento que se d a travs del uso de estos servicios, ser administrado,
monitoreado y regulado por una instancia con autoridad suficiente, la que
reportar a la Direccin Administrativa cualquier uso indebido de los servicios.
c. Se prohbe el acceso a sitios de Internet que no tengan relacin alguna con los
objetivos institucionales, tales como los relacionados con: sexo, racismo, apuestas,
actividades criminales, drogas, juegos, y cualquier otra que se estime conveniente
restringir.
d. No se autoriza a los funcionarios acceder sitios para el establecimiento de charlas,
salvo que tengan relacin alguna con las funciones que desempea.
e. Slo personal previamente autorizado podr bajar informacin desde Internet
(incluye software gratuito y de uso temporal).

11

f. Toda informacin bajada de Internet debe estar relacionada con los objetivos de
Tribunal Registral Administrativo y las funciones que lleva a cabo el usuario.
g. En el caso de software gratuito o de uso restringido, solo podr bajarse para la
realizacin de pruebas y su uso debe estar justificado ante la Jefatura Superior.
h. Todos los archivos obtenidos de la red Internet deben ser revisados (filtrados) para
deteccin de virus previo a ser descargados en cualquier computador.
i. La documentacin software, o cualquier tipo de informacin de uso, no debe ser
transferida a terceros sin que medie autorizacin superior o un compromiso de
confidencialidad entre Tribunal Registral Administrativo y terceros.
j. El tiempo de acceso a Internet no debe interferir ni distraer a los usuarios de sus
funciones normales.
k. La actualizacin de versiones de software por medio de la Internet no esta
permitido; solo las actualizaciones normales que realiza Microsoft por su sistema
automtico, u otras que la Direccin Administrativa expresamente haya autorizado
a la empresa encargada del mantenimiento preventivo y correctivo del equipo de
cmputo.
l. Al menos una vez la empresa encargada del mantenimiento preventivo y
correctivo del equipo de cmputo y monitoreo de servicios de Internet, Intranet y
Correo Electrnico, generarn un reporte que muestre entre otros: informacin
acerca del nombre de sitios visitados, duracin, estaciones desde las cuales se
accedi al servicio y cualquier otra que se estime conveniente. De acuerdo con la
norma, cualquier anomala deber ser reportada a la Direccin Administrativa.
m. Toda la informacin que transite por la red de Tribunal Registral Administrativo
se considera propiedad de Tribunal Registral Administrativo.
n. La informacin relacionada con las funciones del personal y que concierne a
Tribunal Registral Administrativo o a sus usuarios, no podr ser interceptada o
divulgada bajo ninguna circunstancia, salvo en aquellos casos que los Miembros
del Tribunal Superior lo estimen conveniente o que por razones de ndole legal se
requiera revelar.
o. El contenido de los mensajes creados, enviados, recibidos y almacenados debe
limitarse a los propsitos de Tribunal Registral Administrativo, su contenido debe
ser respetuoso y no debe atentar contra la imagen de Tribunal Registral
Administrativo ni contra la integridad moral de sus funcionarios y usuarios.
p. El tamao de los archivos que discurren por Correo electrnico o a travs de los
canales de comunicacin, as como el espacio del casillero asignado a cada
usuario para el almacenamiento de estos archivos, se har con base en las
necesidades de los usuarios, mediante la definicin de perfiles.
q. La informacin que se haya definido como sensitiva por los Miembros del
Tribunal se puede transferir por medio de correo electrnico solamente bajo dos
condiciones: (a) debe existir una necesidad real del por qu transferir la
informacin y (b) debe existir un permiso de parte del dueo de la informacin
que se va a transferir.
r. El establecimiento de conexiones directas entre sistemas internos y computadoras
de organizaciones externas, va Internet o cualquier otra red pblica esta
prohibido. En caso de ser necesario, esta conexin deber ser aprobada por los

12

Miembros del Tribunal que valorar la necesidad y conveniencia, as como los

mecanismos de seguridad pertinentes.
s. Se prohbe que las estaciones de trabajo que estn conectadas mediante la
tecnologa Dial-Up mdems, simultneamente estn conectadas a las redes de rea
local o cualquier otra red de comunicacin interna.
t. Los proveedores de servicios de redes y comunicaciones no deben hacer arreglos
o actualizaciones completas de medios de transporte de datos, voz u otro la
Direccin Administrativa.
u. Los usuarios no deben implementar redes de rea local, conexiones de mdem de
redes internas existentes u otros sistemas multiusuarios de comunicaciones a
menos que especficamente sean aprobados por la Direccin Administrativa.
v. Los mensajes creados, enviados, recibidos o almacenados no deben imprimirse,
especialmente los configurados como de carcter confidencial, salvo que
estrictamente se requiera.

11. PARTICIPACIN EN PROYECTOS DE DESARROLLO.

a.

Todos los sistemas debern ser desarrollados y documentados de acuerdo con la

metodologa estndar definida por la Direccin Administrativa.

b. Para todos los sistemas de informacin, la seguridad debe ser considerada, por los
miembros del equipo del proyecto, desde el inicio del proceso de diseo hasta la
puesta del sistema en produccin.
c. Durante cada fase del proceso de desarrollo de sistemas, los aspectos de seguridad
deben ser definidos explcitamente, documentados por el equipo de desarrollo y
establecidos como un requerimiento de seguridad especfico.
d. En la fase inicial de definicin del proyecto, de un nuevo sistema, deber
asignarse el titular del sistema, en cumplimiento de las responsabilidades
bsicas en seguridad informtica.
e. Al inicio de la fase de diseo del proyecto deber realizarse un anlisis de riesgos
del nuevo sistema por parte o en representacin del Comit Gerencial, a fin de
clasificarlo de acuerdo con su continuidad, confiabilidad y confidencialidad. Para
esta evaluacin se utilizar como gua el documento denominado Sistema de
Valoracin del Riesgo elaborado por la Comisin de Control Interno del
Tribunal.
f. Con fundamento en el anlisis y clasificacin del riesgo del sistema y durante la
fase de diseo del proyecto, los requerimientos de seguridad debern ser definidos
formalmente por parte del usuario del sistema o un representante del mismo.
Las medidas de seguridad deben ser definidas a partir de los requerimientos de
seguridad establecidos.
g. Los requerimientos de seguridad de los sistemas que no puedan ser
adecuadamente satisfechos deben ser explcitamente reportados al usuario del
sistema y a la Direccin Administrativa para su criterio.

13

h. En la fase de pruebas e implementacin, las medidas de seguridad deben ser

probadas adecuadamente por el Comit Gerencial del proyecto. Las pruebas deben
ser documentadas en un reporte, remitidas al usuario del sistema y a la
Direccin Administrativa.
i. Las regulaciones de seguridad y dems normativas que aseguran la calidad y
confiabilidad de los sistemas, debern mantenerse para aquellos proveedores
externos de sistemas, as como en la compra de paquetes.
j. Cuando se realizan las pruebas del nuevo deber realizarse previamente en un
ambiente de pruebas del sistema, con el fin de no comprometer la informacin ni
las bases de datos del Tribunal Registral Administrativo o de los usuarios.
k. Cuando se realicen pruebas debern de realizarse en un ambiente de prueba antes
de poner la aplicacin en produccin y deber considerarse el uso en paralelo del
nuevo sistema y del viejo sistema, a fin de detectar errores.
l. Las funciones de desarrollo de aplicaciones, prueba, aceptacin y produccin de
aplicaciones, y la custodia del software e informacin conexa, deben estar
separadas y ser realizadas por funcionarios distintos entre s, a efecto de asegurar
una adecuada segregacin de funciones.
m. La responsabilidad ltima por aceptacin formal de las aplicaciones corresponde

Al Director del Proyecto y la Direccin Administrativa en los aspectos

relativos a la funcionalidad de la aplicacin que determinarn que la
herramienta informtica funcione a satisfaccin y que este ajustada a los
requerimientos.

Al Comit Gerencial, en cuanto a que la aplicacin cumple con la normativa

tcnica y metodolgica de desarrollo vigente en Tribunal Registral
Administrativo, adems de que todos los componentes (programas, fuentes,
programas objeto, macros, documentacin, diagramas y otros) asociados a la
aplicacin estn debidamente actualizados.

A los responsables de produccin, a efecto de asegurar que los aspectos

operacionales que conlleva la aplicacin sean adecuados y no afecten
adversamente el medio ambiente de operacin general (software, ambiental,
comunicaciones, y otros), otras aplicaciones o la operacin satisfactoria de la
misma aplicacin.

n. Las herramientas y privilegios propios del ambiente de desarrollo, que favorecen

un ambiente y facilidades para las pruebas, no deben ser traspasados al ambiente
de produccin debido a que comprometen la seguridad de la operacin normal;
stas debern de realizarse en un ambiente de prueba o en paralelo.
o. El proceso de puesta en produccin de las aplicaciones, de los sistemas o de sus
actualizaciones, debe realizarse de tal forma que no deteriore los servicios a los
usuarios o la operacin normal, por tanto, debe coordinarse adecuadamente y
realizarse con cronogramas y horarios preestablecidos.
p. Todo sistema debe contar con un esquema de contingencias el cual debe
contemplar aspectos de software, hardware y recurso humano necesario para la
continuidad del servicio.

14

12. OTROS CONSIDERACIONES GENERALES.

a. Los encargados de las reas del Tribunal debern de emitir los planes de
contingencia que correspondan a las actividades crticas que realicen en caso de
que el sistema tenga algn fallo.
b. Debido al carcter confidencial de la informacin, el personal del Tribunal
Registral Administrativo deber de conducirse de acuerdo a los cdigos de tica
profesional y normas y procedimientos establecidos.
13. SANCIONES.
a. Cualquier violacin a las polticas y normas de seguridad deber ser sancionada de
acuerdo al Reglamento Autnomo de Servicio del Tribunal Registral
Administrativo, normativa atinente y supletoria.
b. Las sanciones pueden ser desde una llamada de atencin o informar al usuario
hasta la suspensin del servicio dependiendo de la gravedad de la falta y de la
malicia o perversidad que sta manifiesta.
c. Corresponder a la Direccin Administrativa elaborar el informe preliminar a los
Miembros del Tribunal con la recomendacin correspondiente a fin de que se
tomen las acciones normativas que correspondan a quienes violen las
disposiciones en materia de informtica de la institucin.
d. Todas las acciones en las que se comprometa la seguridad de la Red de Tribunal
Registral Administrativo y que no estn previstas en esta poltica, debern ser
revisadas por la Direccin Administrativa y los Miembros del Tribunal para dictar
una resolucin sujetndose al estado de derecho.

14.

SOBRE LA ACTUALIZACION DE ESTAS POLITICAS.

a. Esta poltica de seguridad deber seguir un proceso de actualizacin peridica

sujeto a los cambios organizacionales relevantes: crecimiento de la planta de
personal, cambio en la infraestructura computacional, desarrollo de nuevos
servicios, entre otros.
b.

El documento que contiene la poltica de seguridad debe ser difundido a todo el

personal involucrado en la definicin de estas polticas.

15

14. GLOSARIO.
Bases de Datos. Es un conjunto de datos interrelacionados y un conjunto de
programas para accesarlos. Una recopilacin de datos estructurados y organizados de
una manera disciplinada para que el acceso a la informacin de inters sea rpido.
Confiabilidad: Est determinada por el posible dao, como resultado de una
operacin del sistema de informacin realizada en forma incorrecta, incompleta,
impropia o inoportuna.
Confidencialidad: Est determinada por el posible dao al Tribunal, como resultado
de la interrupcin de la disponibilidad de los sistemas de informacin.
Comit Gerencial: Cumplir con las funciones definidas en el Manual sobre Normas
Tcnicas de Control Interno de los Sistemas de Informacin Computarizados emitido
por la Contralora General de la Repblica y se integrar por el Presidente del
Tribunal, Juez de Tribunal, Director Administrativo y Jueza Instructora.
Desarrolladores de Sistemas: Funcionarios quienes en representacin del usuario
seleccionan, desarrollan y dan mantenimiento a los sistemas automatizados.
Director del Proyecto: Funcionario responsable de coordinar las actividades
administrativas relacionadas con el proyecto y su ciclo de vida (anlisis, pruebas,
capacitacin, implementacin, paralelos y otros).
Dueo del Sistema: Funcionario responsable por la definicin y aceptacin de los
requerimientos para el desarrollo y mantenimiento de los sistemas automatizados y
con autoridad sobre su uso.
Funcionarios: Personal contratado por el Tribunal, indistintamente de estar
nombrado en propiedad, subcontratado o en entrenamiento.
Lder tcnico: Analista de alto nivel contratado con amplia trayectoria en anlisis,
responsable de brindar apoyo tcnico al director del proyecto y de coordinar las
diferentes instancias ante la Direccin Administrativa en el desarrollo de un proyecto.
Password: Palabra clave, secreta, que unida al cdigo de usuario permite el acceso a
los sistemas de informacin.
Red LAN: Red de Area Local (Local Area Network).

16

Red WAN: Red de Area Ancha (Wide Area Network).

Sistemas crticos: Sistemas fundamentales para la operacin de Tribunal Registral
Administrativo y la presentacin de los servicios bsicos a los usuarios.
Software de ambiente: Es todo aquel software que presta servicios genricos para la
administracin de los recursos computacionales, entre estos podemos citar:

Sistemas Operativos: D.O.S, Windows NT, otros.

Software de productividad: Paquetes como Microsoft Office (Word, Excell,
Power Point, otros).
Utilitarios: Pkzip, otros.

Software de aplicacin: Es aquel destinado a satisfacer las necesidades funcionales

de los usuarios, este puede ser desarrollado tanto interna como externamente.
Usuario: Es aquel funcionario que tiene relacin directa con los Sistemas de
Informacin, equipos de cmputo o de comunicaciones de la Institucin.
Auditoria: Llevar a cabo una inspeccin y examen independiente de los registros del
sistema y actividades para probar la eficiencia de la seguridad de datos y
procedimientos de integridad de datos, para asegurar el cumplimiento con la poltica
establecida y procedimientos operativos, y para recomendar cualquier cambio que se
estime necesario.
Control de Acceso: Tcnica usada para definir el uso de programas o limitar la
obtencin y almacenamiento de datos a una memoria, es una caracterstica o tcnica
en un sistema de comunicaciones para permitir o negar el uso de algunos
componentes o algunas de sus funciones.

17