Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1.1.2 Declaracin:
Para la Universidad Tecnolgica de Pereira la informacin es considerada como un activo de valor estratgico, por esta razn se debern implementar los mecanismos necesarios que garanticen un adecuado tratamiento en el ciclo de vida de la informacin, especialmente para los casos que requieren mantener la disponibilidad de la misma.
Se deber preservar la seguridad de la informacin dando cumplimiento a los principios de Confidencialidad, Integridad y Disponibilidad de la informacin de la institucin. La informacin de la institucin deber mantenerse disponible a las personas autorizadas para ello en el momento en que se necesite. La institucin deber identificar mecanismos que permitan que las actividades de respaldo y recuperacin de la informacin sean adecuadas costo / beneficio. Los niveles de proteccin y clasificacin establecidos para la informacin de la institucin debern ser mantenidos en todo momento. transporte, recuperacin, otros). medidas establecidas para esto. Los usuarios de la institucin son responsables de alojar la informacin que necesita ser respaldada en los lugares establecidos para ello. Los usuarios respaldarn y protegern, con medidas que eviten accesos de personas no autorizadas, aquellos activos digitales de informacin que estn almacenados en elementos de TI de uso personal, que les hayan sido asignados. Se debern preservar los lineamientos de acuerdo a la sensibilidad y nivel de clasificacin de seguridad. Los usuarios son responsables de aplicar los controles para la proteccin de la informacin segn su nivel de clasificacin. As mismo debern alertar al rea del CRIE y la Divisin de Sistemas cuando un activo digital de informacin requiera medidas especiales de proteccin. Los funcionarios de la institucin debern seguir los procedimientos de respaldo de la informacin y realizar su seguimiento a partir de una bitcora de respaldos a la informacin personal. (Acceso, toma de respaldo, backup, Por lo tanto se deben mantener los controles y
Pgina 2 de 18
1.2.2 Declaracin:
Para la Universidad Tecnolgica de Pereira, es crucial proteger informacin sensitiva, evitando que sea conocida por personas diferentes a aquellas que la requieren o que sea publicada de manera indiscriminada. Teniendo presente que las oficinas son visitadas frecuentemente por proveedores, consultores, clientes, personal de limpieza y otros compaeros de trabajo, se define esta buena prctica que se traduce como mantener su escritorio lo ms limpio y organizado posible, ya que si est desordenado, es muy probable que usted no se de cuenta de que le hace falta algo. La informacin de la institucin deber mantenerse disponible a las personas autorizadas para ello en el momento en que se necesite, lo que hace que informacin sensible se pueda encontrar en el puesto de trabajo de cada empleado durante su jornada, sin que esto deba ser entendido como admitir momentos en que la informacin NO est debidamente protegida.
Gua de Polticas Usuario Final.docx Pgina 3 de 18
Los niveles de proteccin y clasificacin establecidos para la informacin de la institucin debern ser mantenidos en todo momento. Los usuarios de la informacin son responsables, mientras tengan la informacin bajo su control, de mantener los niveles de proteccin y clasificacin establecidos para la misma en todo momento, haciendo uso adecuado de los recursos a su disposicin. Es responsabilidad de los usuarios el identificar riesgos asociados a disponer de la informacin en su puesto de trabajo e iniciar las acciones para mitigarlos.
estacin y su puesto de trabajo bajo su control, lo que ser reforzado con capacitaciones y sensibilizaciones en el uso del bloqueo de los equipos. Cada usuario de la institucin para mantener su estacin de trabajo bajo control, deber bloquear la sesin al alejarse de su computador, aunque sea por poco tiempo, minimizando el tiempo que la estacin quedara sin control ya que cualquier ausencia puede extenderse.
1.3.2 Declaracin:
Cualquier usuario quien sospeche de una infeccin por un virus debe apagar inmediatamente el computador involucrado, desconectarlo de cualquier red, llamar al grupo de soporte de la divisin de sistemas y procesamiento de datos y no hacer ningn intento de eliminar el virus Solamente el grupo de soporte de la divisin de sistemas y procesamiento de datos debe enfrentar una infeccin por virus de computador.
Pgina 6 de 18
Los usuarios no deben intentar eliminar el virus, a menos que sigan instrucciones precisas de los Administradores de sistemas. Los usuarios no deben transferir (bajar) software desde cualquier sistema que se encuentra por fuera de La Universidad Tecnolgica de Pereira. Los usuarios no deben utilizar software obtenido externamente desde Internet o de una persona u organizacin diferente a los distribuidores confiables o conocidos, a menos que el software haya sido examinado en busca de cdigo malicioso y que haya sido aprobado por El CRIE y la Divisin de Sistemas. Antes de ser descomprimido, todo software transferido desde sistemas externos a la Universidad Tecnolgica de Pereira, debe ser analizado con un sistema antivirus aprobado, despus de que el usuario haya terminado su sesin y se haya terminado con todas sus conexiones de red. Siempre que algn software o archivos hayan sido recibidos de una entidad externa, este material debe ser probado para buscar software no autorizado en una mquina aislada de desarrollo (no produccin), antes de ser utilizado en los sistemas de informacin de la Universidad Tecnolgica de Pereira. Debe certificarse que todo el software, archivos o ejecutables, se encuentran libres de virus antes de ser enviados a una entidad externa a La Universidad Tecnolgica de Pereira. Cualquier archivo encriptado suministrado por instituciones externas a la Universidad Tecnolgica de Pereira, debe ser desencriptado antes de ser sometido al anlisis con sistemas antivirus. Cualquier sistema de almacenamiento como disquetes, CD-ROMs, cartuchos pticos, cintas DAT, etc., provistos por instituciones externas no deben ser utilizados en los sistemas de la Universidad Tecnolgica de Pereira, a menos que stos medios hayan
Gua de Polticas Usuario Final.docx Pgina 7 de 18
sido analizados con sistemas antivirus por personal autorizado y hayan recibido una etiqueta que certifique que no se encontraron virus. Antes que cualquier archivo sea restaurado en un sistema de la Universidad Tecnolgica de Pereira, desde un medio de almacenamiento de respaldo, ste debe ser analizado con un sistema antivirus actualizado. Los usuarios no deben intencionalmente escribir, generar, compilar, copiar, almacenar, propagar, ejecutar o intentar introducir cualquier cdigo de computador diseado para auto replicarse, deteriorar o que obstaculice el desempeo de cualquier sistema de la Universidad Tecnolgica de Pereira o de cualquier institucin externa a ella.
1.4.2 Declaracin:
La Universidad Tecnolgica de Pereira con el objetivo nico de facilitar la realizacin del trabajo contratado brinda acceso a Internet para navegacin a sus funcionarios y contratistas autorizados, los cuales se acogen a las polticas y formas de actuacin dictados en esta gua.
Pgina 8 de 18
La institucin adelantar campaas dirigidas a todos los usuarios de la navegacin para garantizar que las personas estn informadas sobre los peligros de descargar archivos de Internet (el software espa, los troyanos y los atacantes externos), acceder a sitios desconocidos o de baja confianza y aceptar los mensajes sobre instalacin de software que brinde el navegador, as como el contenido relevante de sta gua. La institucin buscar garantizar de manera tcnica que se controla el acceso a sitios que puedan afectar la productividad de la institucin, la seguridad de su informacin o su personal. Los usuarios debern Abstenerse de visitar sitios restringidos por la institucin de manera explicita o implcita, o sitios que afecten la productividad de la institucin. Especialmente se debern evitar el acceso desde la institucin a sitios relacionados con la pornografa y fundamentalmente si este involucra a menores de edad. As mismo, esta prohibida la descarga y uso de software malicioso o documentos que brinden informacin sobre como atentar contra la seguridad de la informacin corporativa Los funcionarios debern abstenerse de brindar cualquier tipo de informacin de la institucin en sitios no autorizados o que no cuenten con mecanismos de seguridad que garanticen la confidencialidad de la informacin en transito Los funcionarios de La Universidad Tecnolgica de Pereira no deben comprar bienes o servicios a travs de Internet a nombre de La Universidad Tecnolgica de Pereira, a menos que exista una aprobacin previa. Los usuarios, deben evitar descargar y/o emplear archivos de imagen, sonido o similares que puedan estar protegidos por derechos de autor de terceros sin la previa autorizacin de los mismos. Los usuarios no deben descargar software de Internet bajo ninguna circunstancia.
Pgina 9 de 18
Los usuarios no deben instalar software en sus estaciones de trabajo, en los servidores de la red, o en otras mquinas, incluso si este software es libre o no licenciado; toda instalacin de software debe hacerla un tcnico luego de la debida verificacin y la autorizacin previa del CRIE y la Divisin de Sistemas. El software residente en sitios mirror de Internet no debe ser descargado a ningn sistema de La Universidad Tecnolgica de Pereira a menos que sea recibido directamente de una fuente confiable y conocida y que se hayan empleado herramientas como verificacin de firmas digitales. Los servidores disponibles en Internet no deben ser utilizados para almacenar informacin de las actividades del La Universidad Tecnolgica de Pereira. Los usuarios estn consientes de que toda la informacin (incluida la de navegacin) que transite en la institucin por ser para el trabajo es propiedad de la misma y por ende puede ser monitoreada con objetivos de administracin, seguridad o auditora por personal autorizado por la institucin. Los usuarios de los sistemas de navegacin son concientes de que estos, solamente deben ser utilizados para propsitos lcitos y en cumplimiento de las funciones especficas de su cargo, ya que toda actividad de navegacin puede ser registrada por La Universidad Tecnolgica de Pereira, quien podr revelar cualquier acceso cuando una autoridad judicial as lo requiera. El personal de La Universidad Tecnolgica de Pereira no debe utilizar el sistema de navegacin de la UTP para participar en grupos de discusin en Internet, Listas de Correo, chats o cualquier otro foro pblico, a menos que su participacin haya sido expresamente autorizada formalmente por la universidad. Los usuarios de Internet, podrn emplear este recurso para su propia capacitacin previa autorizacin de su jefe directo y en horarios no laborales
Gua de Polticas Usuario Final.docx Pgina 10 de 18
La institucin facilita el acceso al uso de medios electrnicos para comercio electrnico como el pago de facturas, transacciones bancarias de sus funcionarios y lectura de correos personales que tengan acceso va web, pero no asume ninguna responsabilidad por estas, ni recomienda su uso. Si el usuario hace uso de estos servicios de todas maneras asume que puede ser monitoreada toda la informacin que de este uso se derive como si fuese de la institucin misma.
1.5.2 Declaracin:
Toda la documentacin que describe los sistemas de informacin o los procedimientos de sistemas de la Universidad Tecnolgica de Pereira, debe ser revisada y aprobada por El CRIE y la Divisin de Sistemas, antes de ser liberada a terceras partes. Toda la documentacin relacionada con los sistemas de la Universidad Tecnolgica de Pereira, es considerada confidencial y no debe ser conservada por los funcionarios que dejen de laborar en la institucin.
Pgina 11 de 18
1.6.2 Declaracin:
Todos los contratos originados a travs mensajes de ofertas y aceptaciones electrnicas deben ser formalizados y confirmados por medio de documentos en papel, dentro de las siguientes dos semanas a partir de su aceptacin. Toda informacin acerca de pagos, como nmeros de cuentas corrientes y de tarjetas de crdito, debe ser encriptada mientras est almacenada en computadores accesibles desde Internet o desde redes externas. Toda informacin acerca de pagos, como nmeros de cuentas corrientes y de tarjetas de crdito, debe permanecer encriptada cuando no sea utilizada para propsitos de la institucin y cuando sea transmitida o almacenada en medios de respaldo y transporte.
Pgina 12 de 18
1.7.2 Declaracin:
La informacin secreta y no encriptada no debe ser trasmitida por correo electrnico, a menos que una persona con autoridad directiva, de acuerdo a su cargo autorice especficamente cada ocurrencia. El personal de la Universidad Tecnolgica de Pereira no puede emplear direcciones de correo electrnico diferentes a las cuentas oficiales para atender asuntos de la institucin. Todos los mensajes de correo electrnico que utilizan los sistemas de la Universidad Tecnolgica de Pereira, deben contener el nombre y apellidos del remitente, su cargo, direccin y nmero telefnico. Todas las comunicaciones de mercadeo realizadas por correo electrnico, dirigidas a clientes o usuarios encontrados en la base de datos de contactos de la Universidad Tecnolgica de Pereira , deben incluir instrucciones de cmo los destinatarios pueden ser removidos rpidamente de la base de datos de contactos y detener comunicaciones, correos o mensajes posteriores. Los usuarios no deben reenviar correo electrnico a direcciones externas al Universidad Tecnolgica de Pereira, a menos que exista autorizacin previa de quien origina el mensaje o que la informacin sea pblica por naturaleza. Un mensaje de correo electrnico debe ser retenido y conservado para futuras referencias solamente si contiene informacin relevante para a finalizacin de una transaccin, si contiene informacin de referencia potencialmente importante o si tiene valor como evidencia de una decisin administrativa de la Universidad Tecnolgica de Pereira. Todos los mensajes de correo electrnico que contengan informacin concerniente, pero no limitada a, nmeros de tarjetas de crdito, claves de acceso, informacin de
Gua de Polticas Usuario Final.docx Pgina 13 de 18
El personal de la Universidad Tecnolgica de Pereira NO puede monitorear los sistemas de correo electrnico para asegurar el cumplimiento de polticas, a menos que haya autorizacin judicial o de autoridad competente. La Universidad Tecnolgica de Pereira debe notificar a todos los usuarios que los
sistemas de correo electrnico solamente deben ser utilizados para propsitos de la institucin, todos los mensajes enviados por correo electrnico constituyen registros de la Universidad Tecnolgica de Pereira, quien se reserva el derecho de acceder y revelar cualquier mensaje para cualquier propsito sin previo aviso y los administradores pueden revisar el correo electrnico del personal para determinar si han roto la seguridad, han violado la poltica de la Universidad Tecnolgica de Pereira realizado actividades no autorizadas Los usuarios no pueden crear, enviar, o retrasmitir mensajes de correo electrnico que puedan constituir acoso o que puedan contribuir a un ambiente de trabajo hostil. El personal de la Universidad Tecnolgica de Pereira no puede enviar o distribuir o han
cualquier mensaje a travs de los sistemas de la Universidad Tecnolgica de Pereira, el cual pueda ser considerado difamatorio, acosador o explcitamente sexual o que pueda ofender a alguien con base en su raza, gnero, nacionalidad, orientacin sexual, religin, poltica o discapacidad. El personal no debe utilizar los sistemas de la Universidad Tecnolgica de Pereira para la transmisin de cualquier correo masivo no solicitado. En todos los mensajes de correo electrnico salientes, debe agregarse un pi de pgina que indique que el mensaje puede contener informacin confidencial, que es para el uso de los destinatarios nombrados, que ha sido registrado para propsitos de archivo, que puede ser analizado por otras reas de la Universidad Tecnolgica de Pereira y que no
Gua de Polticas Usuario Final.docx Pgina 14 de 18
constituye necesariamente una oficial representacin de la Universidad Tecnolgica de Pereira. El personal de la Universidad Tecnolgica de Pereira no debe emplear versiones
digitalizadas de sus firmas manuscritas en los mensajes de correo electrnico. El personal no debe abrir archivos adjuntos a los correos electrnicos, a menos que hayan sido analizados por el software antivirus aprobado. El personal de la Universidad Tecnolgica de Pereira no debe utilizar las cuentas de correo oficiales para participar en grupos de discusin en Internet, Listas de Correo o cualquier otro foro pblico, a menos que su participacin haya sido expresamente autorizada por El CRIE y la Divisin de Sistemas.
1.8.2 Declaracin:
Pgina 15 de 18
Los sistemas que manejen informacin valiosa, sensible o crtica deben adems contener y activar forzosamente el log sobre todos los eventos o procesos relacionados con la seguridad de acceso a los mismos. Ejemplo: Varios intentos de contrasea, intentos de uso de privilegios no autorizados, entre otros. Los logs de procesos relevantes deben de proveer informacin suficiente para soportar auditoras y contribuir a la eficiencia y cumplimiento de medidas de seguridad. Es importante que La divisin de sistemas y procesamiento de datos o el CRIE acuerde con el Propietario de la Informacin cualquier caracterstica especial que estos logs deban incluir, de acuerdo a requerimientos internos o con autoridades externas. Todos los comandos emitidos por los operadores de sistemas deben ser rastreables o identificables para especificar su uso individual. El perodo que debe activarse y depurarse un log es por lo menos cada mes. Durante este perodo, el administrador del sistema y/o dueo de la informacin, se debe asegurar que ste no sea modificado, y cerciorarse de que no sea ledo por personal no autorizado. Estos aspectos son importantes para la correccin de errores, auditoras o brechas de seguridad. La divisin de sistemas y procesamiento de datos, el CRIE o una persona asignada por ellas (que no tenga el rol de administrador de sistemas) debe revisar, por lo menos cada tres meses, uno o ms registros relevantes a las actividades de los usuarios responsables administradores de la informacin (administradores de servidores y aplicaciones) para asegurarse que estn manejando con responsabilidad sus acciones con respecto a los sistemas de cmputo. Para evitar conductas inapropiadas, crear un sentido de responsabilidad del usuario, y permitir una administracin adecuada de los sistemas, todas las usuarios que afecten produccin deben ser trazables desde el log.
Gua de Polticas Usuario Final.docx Pgina 16 de 18
actividades de los
Las aplicaciones y otros manejadores de Bases de Datos, deben tener logs para las actividades de los usuarios y estadsticas relacionadas a estas actividades que les permitan identificar y detectar alarmas de posibles problemas o mal uso, y que reflejen eventos misionales de la institucin sospechosos. Todos los sistemas de la Universidad Tecnolgica de Pereira, incluyendo todas las PCs conectadas a una red, siempre deben tener un mismo horario y calendario adecuado, utilizando sincrona con los servidores, cuando sea posible. actividades de rastreo mediante los logs de los sistemas. Esto para facilitar
Manejo de Logs
Los mecanismos para detectar y registrar eventos de seguridad significativos, deben ser resistentes a los ataques. Estos ataques incluyen intentos de desactivacin, modificacin, o borrado del software de log. Esto incluye tomar las medidas necesarias para que, an cuando el log sea apagado o modificado, esta suspensin o modificacin queden registradas en el mismo. Los logs de todos los sistemas y aplicaciones deben ser conservados de forma tal, que no puedan ser revisados o visualizados por personas no autorizadas. Los funcionarios autorizados deben contar con una autorizacin de La divisin de sistemas y procesamiento de datos, el CRIE, el Comit de Seguridad de la Informacin, o el dueo de la informacin en cuestin para realizar tal acceso.
Comentarios
Los logs son una herramienta muy valiosa que pueden ayudar a identificar y a solucionar muchas incidencias no contempladas. De esta forma, los archivos log son tiles para el personal de Control Interno, el Comit de Seguridad de la Informacin, Propietarios de la informacin, para detectar errores, modificaciones no autorizadas, transacciones no vlidas, regeneracin de archivos y restablecimiento de procesos.
Gua de Polticas Usuario Final.docx Pgina 17 de 18
El objetivo es que todos los movimientos que se realizan dentro de las operaciones crticas o sensibles de la institucin, sean registrados, para detectar y reducir el riesgo de violacin o fraudes. Estas herramientas sirven como evidencia posibles soluciones. y apoyo para la deteccin de la fuente del problema ocasionado, identificando sus posibles causas y
Pgina 18 de 18