Con el objetivo de velar por el buen funcionamiento y el optimo desempeo que
puedan generar los Equipos y Sistemas Informticos de la Municipalidad de Carrillo, se trabajara da a da con la implementacin e implantacin de polticas que definan y marquen las directrices que todos los colaboradores del ente municipal deben seguir, para lograr avanzar juntos en una misma direccin, siempre con el fin de mejorar y sacar adelante sus labores cotidianas en pro de brindar un servicio de calidad a toda la ciudadana. Los usuarios son responsables de cumplir con todas las polticas de la Municipalidad de Carrillo relativas a la eguridad !nform"tica y en particular# Polticas de Seguridad Generales $. Conocer y aplicar las polticas y procedimientos apropiados en relacin al manejo de la informacin y de los istemas !nform"ticos. %. &o divulgar informacin confidencial de la Compaa a personas no autorizadas. '. &o permitir y no facilitar el uso de los sistemas inform"ticos de la Compaa a personas no autorizadas. (. &o se permite la intercone)in a la red interna del edificio Municipal a toda aquella persona que no sea funcionario de la institucin. Con la salvedad de funcionarios e)ternos que provengan de !nstituciones *ubernamentales tales como# Contralora *eneral de la +epublica ,C*+-, !nstituto de .omento y /sesora Municipal ,!./M-, entre otros con autorizacin de la /dministracin. 1 0. &o utilizar los recursos inform"ticos ,1ard2are, soft2are o datos- y de telecomunicaciones ,tel3fono, fa)- para otras actividades que no est3n directamente relacionadas con el trabajo en la Municipalidad de Carrillo. 4. 5roteger meticulosamente su contrasea y evitar que sea vista por otros en forma inadvertida. 6. eleccionar una contrasea robusta que no tenga relacin obvia con el usuario, sus familiares, el grupo de trabajo, y otras asociaciones parecidas. 7. +eportar inmediatamente a su jefe inmediato y al 8ncargado del 9epartamento de !nform"tica cualquier evento que pueda comprometer la seguridad de la Municipalidad de Carrillo y sus recursos inform"ticos, como por ejemplo contagio de virus, intrusos, modificacin o p3rdida de datos y otras actividades poco usuales. 2 Polticas de Seguridad para Computadores y Respaldos de Informacin $. Los computadores de la Municipalidad de Carrillo slo deben usarse en un ambiente seguro. e considera que un ambiente es seguro cuando se 1an implantado las medidas de control apropiadas para proteger el soft2are, el 1ard2are y los datos. 8sas medidas deben estar acorde a la importancia de los datos y la naturaleza de riesgos previsibles. %. 8s responsabilidad de los usuarios, velar por el aseo y proteccin de los equipos de trabajo: esto incluye limpieza de las zonas donde se encuentran instalados los equipos, utilizar medios de proteccin contra el polvo, agua, incendio, etc. '. Los equipos de la Municipalidad de Carrillo slo deben usarse para actividades de trabajo y no para otros fines, tales como juegos y pasatiempos. (. 9ebe respetarse y no modificar la configuracin de 1ard2are y soft2are establecida por el 8ncargado del 9epartamento de !nform"tica 0. Como medida de 1igiene y de seguridad del equipo fsico inform"tico ,;ard2are-, queda totalmente pro1ibido sin e)cepcin alguna el fumar, ingerir bebidas o alimentos mientras se est3n utilizando las estaciones de trabajo, impresoras y cualquier otro equipo que tenga que ver con la infraestructura inform"tica, ya que este tipo de pr"ctica pone en riesgo el buen funcionamiento de los dispositivos. 6. er" responsabilidad del encargado del equipo de trabajo: el velar por el buen funcionamiento y cuidado del computador: por lo tanto si este ultimo llegase a quebrantar negligentemente la poltica <referida a la higiene y seguridad del equipo fsico informtico=, recaer"n sobre este todas las acciones pertinentes, para lograr que la estacin de trabajo se mantenga funcionando en su estado normal entre las acciones est"n# 3 8l reemplazo total o parcial del equipo afectado en un periodo que no sobrepase los '> das: a partir del da en que ocurrido el accidente. 8n caso de perdida de informacin estrat3gica e indispensable para la 8ntidad Municipal, sobre el encargado del computador recaer"n las medidas de castigo que imponga la /dministracin. 6. Cualquier falla en los computadores o en la red debe reportarse inmediatamente al 8ncargado del 9epartamento de !nform"tica ya que podra causar problemas serios como p3rdida de la informacin o indisponibilidad de los servicios. 7. 9eben protegerse los equipos para disminuir el riesgo de robo, destruccin, y mal uso. Las medidas que se deben de implantar, incluyen el uso de vigilantes y cerradura con llave. ?. Los equipos deben marcarse para su identificacin y control de inventario. Los registros de inventario deben mantenerse actualizados. $>.&o pueden moverse los equipos o reubicarlos sin permiso. 5ara llevar un equipo fuera de la Compaa se requiere una autorizacin escrita del 8ncargado del 9epartamento de !nform"tica con previa aprobacin de la /dministracin. $$.La p3rdida o robo de cualquier componente de 1ard2are o programa de soft2are debe ser reportada inmediatamente al 8ncargado del 9epartamento de !nform"tica. $%.5ara prevenir el acceso no autorizado, los usuarios deben usar un sistema de contraseas robusto y adem"s deben configurar el protector de pantalla para que se active al cabo de $> minutos de inactividad y que requiera una contrasea al reasumir la actividad. /dem"s el usuario debe activar el protector de pantalla manualmente cada vez que se ausente de su oficina. 4 $'.Los datos confidenciales que aparezcan en la pantalla deben protegerse de ser vistos por otras personas mediante disposicin apropiada del mobiliario de la oficina y protector de pantalla. Cuando ya no se necesiten o no sean de utilidad, los datos confidenciales se deben ocultar de la pantalla. $(.9ebe implantarse un sistema de autorizacin y control de acceso con el fin de restringir la posibilidad de los usuarios para leer, escribir, modificar, crear, o borrar datos importantes. 8stos privilegios deben definirse de una manera consistente con las funciones que desempea cada usuario. $0.&o est" permitido llevar al sitio de trabajo computadores port"tiles ,laptops- y en caso de ser necesario se requiere solicitar la autorizacin correspondiente. 16./ menos que se indique lo contrario, los usuarios deben asumir que todo el soft2are de la Municipalidad de Carrillo est" protegido por derec1os de autor y requiere licencia de uso. 5or tal razn es ilegal y est" terminantemente pro1ibido 1acer copias o usar ese soft2are para fines personales. 8s responsabilidad de cada usuario 1acer entrega de todos los discos referentes a las licencias que posea la estacin de trabajo que esta bajo su cargo al 8ncargado del 9epartamento de !nform"tica: en el caso de perdida de los discos por parte del usuario, este ultimo debe de justificar por escrito ante el 8ncargado del 9epartamento de !nform"tica y ante la /dministracin bajo que situaciones se genero la perdida. 8stos @ltimos se encargaran de aplicar la sancin correspondiente. $6.Los usuarios no deben copiar a un medio removible ,como un disAette, C9B+CM, dispositivos de almacenamiento masivo-, el soft2are o los datos residentes en las computadoras de la Municipalidad de Carrillo, para ser trasladados fuera de las instalaciones, sin la aprobacin previa del 8ncargado del 9epartamento de !nform"tica. 5 $7.&o pueden e)traerse datos fuera de la sede de la Municipalidad de Carrillo sin la aprobacin previa de la /dministracin. 8sta poltica es particularmente pertinente a aquellos que usan a computadoras port"tiles o est"n conectados a redes como !nternet. $?.9ebe instalarse y activarse una 1erramienta antivirus, la cual debe mantenerse actualizada. i se detecta la presencia de un virus u otro agente potencialmente peligroso, se debe notificar inmediatamente al 8ncargado del 9epartamento de !nform"tica y poner la 5C en cuarentena 1asta que el problema sea resuelto. %>.9ebe utilizarse un programa antivirus para e)aminar todo soft2are que venga de afuera ,!nternet- o inclusive de otros departamentos de la Municipalidad de Carrillo. %$.&o debe utilizarse soft2are bajado de !nternet y en general soft2are que provenga de una fuente no confiable, a menos que se 1aya sido comprobado en forma rigurosa y que est3 aprobado su uso por el 9epartamento de !nform"tica. %%.5ara prevenir demandas legales o la introduccin de virus inform"ticos, se pro1be estrictamente la instalacin de soft2are no autorizado, incluyendo el que 1aya sido adquirido por el propio usuario. /s mismo, no se permite el uso de soft2are de distribucin gratuita, a menos que 1aya sido previamente aprobado por el 9epartamento de !nform"tica. %'.&o deben usarse disAettes u otros medios de almacenamiento en cualquier computadora de la Municipalidad de Carrillo a menos que se 1aya previamente verificado que est"n libres de virus u otros agentes dainos. %(.5eridicamente debe 1acerse el respaldo de los datos guardados en 5Cs y servidores y las copias de respaldo deben guardarse en un lugar seguro, a prueba de 6 1urto, incendio e inundaciones. Los programas y datos vitales para la operacin de Municipalidad de Carrillo debe guardarse en otra sede, lejos del edificio. %0.Los usuarios de 5Cs son responsables de proteger los programas y datos contra p3rdida o dao. 5ara sistemas multiusuario y sistemas de comunicaciones, el 8ncargado del 9epartamento de !nform"tica es responsable de 1acer copias de respaldo peridicas. Los gerentes de los distintos departamentos son responsables de definir qu3 informacin debe respaldarse, as como la frecuencia del respaldo ,por ejemplo# diario, semanal- y el m3todo de respaldo ,por ejemplo# incremental, total-. %4.5or disposicin del 8ncargado del 9epartamento de !nform"tica, y pese a la poca confiabilidad de realizar los respaldos del programa !M%$ en disAettes, este ultimo proceder" a realizar los respaldos diarios de la siguiente manera# 9a a da respaldara la informacin de la carpeta llamada !M%$ ,Dbicada en el disco 9# del servidor de la entidad Municipal-, en un C9: porque este tipo de dispositivo de almacenamiento proporciona mayor confiabilidad y seguridad de la informacin contenida en ellos. %6./l igual que la poltica anterior: pero con respecto a la aplicacin !M/CC ,para uso del 9ep. Contabilidad, .inanciero y 5roveeduria-, el 8ncargado del 9epartamento de !nform"tica proceder" a realizar el respaldo diario de la carpeta +85/L9CE!M/CC ,Dbicada en el disco 9# del servidor de la entidad Municipal-, en el mismo C9 donde se respalda la informacin del sistema !M%$, esto siempre y cuando el dispositivo de almacenamiento cuente con la capacidad de almacenar tales datos. 8n el momento en que &o sea factible respaldar la informacin de los dos sistemas en un mismo C9, se proceder" a resguardar los datos de dic1as aplicaciones en C9Fs separados. 7 %7.Los usuarios deben de vigilar cautelosamente las impresoras, sobre todo si se est" imprimiendo ,o se va a imprimir- informacin confidencial de la Municipalidad de Carrillo. %?.8l personal que utiliza un computador port"til que contenga informacin confidencial de la Municipalidad de Carrillo, no debe dejarla desatendida, sobre todo cuando est3 de viaje, y adem"s esa informacin debe estar estrictamente protegida. 8 Polticas de Seguridad para las Comunicaciones Los sistemas de comunicacin de la Municipalidad de Carrillo generalmente slo deben usarse para actividades de trabajo. 8l uso personal en forma ocasional es permisible siempre y cuando consuma una cantidad mnima de tiempo y recursos, y adem"s no interfiera con la productividad del empleado ni con las actividades de la Municipalidad de Carrillo. $. e pro1be el uso de los sistemas de comunicacin para actividades comerciales privadas o para propsitos de entretenimiento y diversin. %. La navegacin en !nternet para fines personales no debe 1acerse a e)pensas del tiempo y los recursos de la Municipalidad de Carrillo y en tal sentido deben usarse las 1oras no laborables. Polticas de seguridad para redes 8l propsito de esta poltica es establecer las directrices, los procedimientos y los requisitos para asegurar la proteccin apropiada de la !nformacin concerniente a la Municipalidad de Carrillo: al estar conectada a redes de computadoras. $. 8s poltica de la Municipalidad de Carrillo pro1ibir la divulgacin, duplicacin, modificacin, destruccin, p3rdida, mal uso, robo y acceso no autorizado de informacin propietaria. 2. Godos los cambios en los servidores y equipos de red de la Municipalidad de Carrillo, incluyendo la instalacin del nuevo soft2are, el cambio de direcciones !5, la reconfiguracin de routers y s2itc1s, deben ser documentados y debidamente aprobados, e)cepto si se trata de una situacin de emergencia. Godo esto es para evitar problemas por cambios apresurados y que puedan causar interrupcin de las 9 comunicaciones, cada de la red, denegacin de servicio o acceso inadvertido a informacin confidencial. 10 Cuentas de los !suarios $. Cuando un usuario recibe una nueva cuenta, debe firmar un documento donde declara conocer las polticas y procedimientos de seguridad, y acepta sus responsabilidades con relacin al uso de esa cuenta. %. La solicitud de una nueva cuenta o el cambio de privilegios debe ser 1ec1a por escrito y debe ser debidamente aprobada por el 8ncargado del 9epartamento de !nform"tica. '. &o debe concederse una cuenta a personas que no sean empleados de la Municipalidad de Carrillo a menos que est3n debidamente autorizados por la /dministracin. 4. 8s responsabilidad de cada Hefe de 9epartamento, el emitir la solicitud de creacin, actualizacin o eliminacin ,ya sea temporal o definitiva, por causas como vacaciones, incapacidades, despido, u otra- de una cuenta de usuario en el !M: para cada uno de los dem"s colaboradores del departamento. 5. Es responsa"ilidad del Encargado #a$ del Departamento de Recursos %umanos de suministrar al Encargado #a$ del Departamento de Informtica las respecti&a accin de personal de todo aquel funcionario que posee una cuenta de acceso al SI'( Esto con el o")eti&o de que este ultimo realice las la"ores de mantenimiento al modulo de usuarios del sistema y as mismo ad)unte la respecti&a )ustificacin( (Nueva Poltica Incorporada el da *+ de no&iem"re del ,--./ se 0i1o el respecti&o conocimiento de la misma al encargado #a$ del Departamento de RR%% por medio del oficio 23 'C4I54--.64,--.$ 4. 8s responsabilidad del Hefe de 9epartamento de !nform"tica, el emitir un documento oficial en el cual se estipule e)plcitamente el nivel de acceso al !M especificado. 11 9ic1o documento contara con la firma tanto del Hefe de 9epartamento de !nform"tica como del nuevo usuario de la cuenta. 6. 8n encargado del 9epartamento de !nform"tica es el @nico funcionario de la institucin que cuenta con la potestad de la creacin, actualizacin o eliminacin de las cuentas de los usuarios del !M. 7. Las personas involucradas en el proceso de activacin o desactivacin de las cuentas de usuario, serian# $. 5ara la creacin, actualizacin o eliminacin de los usuarios del !M, adem"s de la presencia del 8ncargado del 9epartamento de !nform"tica: ser" necesario que el futuro usuario de la cuenta este presente para que digite su Clave: y as poder insertarlo al sistema. ?. Como medida de seguridad y control cada cuatro meses ,o sea tres veces al ao-, se cambiaran todas las claves de los usuarios del !M, esto con el objetivo de prevenir cualquier acceso indebido al sistema por parte de un usuario que conozca la clave de otro. $>.Con respecto al formato de las claves de usuario, se establece que estas ultimas deben# $. Combinar letras y n@meros. %. Gener un tamao de siete caracteres. '. I como medida de seguridad se le especificara a cada usuario que su clave no debe de tener ninguna relacin directa con ellos, para evitar que cualquier otra persona f"cilmente descubra la clave que utilizan para ingresar al !M%$. 12 11.8s responsabilidad del /uditor !nterno de la Municipalidad de Carrillo el revisar peridicamente el listado de usuarios activos en el !M, adem"s de verificar si el nivel de acceso con que cuentan corresponde a las labores que realizan. Gambi3n 12.8s responsabilidad del /uditor !nterno de la Municipalidad de Carrillo monitorear las transacciones realizadas por cada uno de los usuarios del !M, esto con el objetivo de llevar un control de los datos y la informacin manipulada por los usuarios dentro del sistema. $'.&o deben otorgarse cuentas a t3cnicos de mantenimiento ni permitir su acceso remoto a menos que el 8ncargado del 9epartamento de !nform"tica determine que es necesario. 8n todo caso esta facilidad slo debe 1abilitarse para el periodo de tiempo requerido para efectuar el trabajo. $(.e pro1be el uso de cuentas annimas o de invitado y los usuarios deben entrar al sistema mediante cuentas que indiquen claramente su identidad. $0.Cuando un empleado es despedido o renuncia a la Municipalidad de Carrillo, debe desactivarse su cuenta antes de que deje el cargo. Contrase7as y el Control de 8cceso $. 8l usuario no debe guardar su contrasea en una forma legible en arc1ivos en disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser encontrada. i 1ay razn para creer que una contrasea 1a sido comprometida, debe cambiarla inmediatamente. &o deben usarse contraseas que son id3nticas o substancialmente similares a contraseas previamente empleadas. iempre que sea posible, debe impedirse que los usuarios vuelvan a usar contraseas anteriores. 13 %. &unca debe compartirse la contrasea o revelarla a otros. 8l 1acerlo e)pone al usuario a las consecuencias por las acciones que los otros 1agan con esa contrasea. '. 8st" pro1ibido el uso de contraseas de grupo para facilitar el acceso a arc1ivos, aplicaciones, bases de datos, computadoras, redes, y otros recursos del sistema. 8sto se aplica en particular a la contrasea del administrador. (. Las contraseas predefinidas que traen los equipos nuevos tales como routers, s2itc1s, etc., deben cambiarse inmediatamente al ponerse en servicio el equipo. 0. i no 1a 1abido ninguna actividad en una Germinal, 5C o estacin de trabajo durante un cierto periodo de tiempo, el sistema debe autom"ticamente borrar la pantalla y suspender la sesin. 8l periodo recomendado de tiempo es de $> minutos. 8l reB establecimiento de la sesin requiere que el usuario proporcione se autentique mediante su contrasea. 4. Los usuarios no deben intentar violar los sistemas de seguridad y de control de acceso. /cciones de esta naturaleza se consideran violatorias de las polticas de la Municipalidad de Carrillo, pudiendo ser causal de despido. 6. 5ara tener evidencias en casos de acciones disciplinarias y judiciales, cierta clase de informacin debe capturarse, grabarse y guardarse cuando se sospec1e que se est3 llevando a cabo abuso, fraude u otro crimen que involucre los sistemas inform"ticos. 7. Los arc1ivos de bit"cora ,logs- y los registros de auditoria ,audit trails- que graban los eventos relevantes sobre la seguridad de los sistemas inform"ticos y las comunicaciones, deben revisarse peridicamente y guardarse durante un tiempo prudencial de por lo menos tres meses. 9ic1o arc1ivos son importantes para la deteccin de intrusos, brec1as en la seguridad, investigaciones, y otras actividades de 14 auditoria. 5or tal razn deben protegerse para que nadie los pueda alterar y que slo los puedan leer las personas autorizadas. 9. Los servidores de red y los equipos de comunicacin deben estar ubicados en locales apropiados, protegidos contra daos y robo. 9ebe restringirse severamente el acceso a estos locales y a los cuartos de comunicacin a personas no autorizadas mediante el uso de cerraduras y otros sistemas de acceso. 8sta serie de 5olticas descritas anteriormente vienen a contribuir al ordenamiento y administracin de los equipos y sistemas inform"ticos del ente municipal, por lo tanto es responsabilidad de todos los colaboradores de la Municipalidad de Carrillo aplicar y velar por el cumplimiento de cada unas de estas disposiciones: adem"s de reportar al 8ncargado del 9epartamento de !nform"tica acerca del incumplimiento de estas. 15