Políticas de Seguridad Informática

 
En esta sección se definen los aspectos que conforman la estrategia a seguir
por la Entidad sobre la base de sus características propias y en conformidad
con la política vigente en el país en esta materia y el sistema de seguridad
diseñado, mediante el establecimiento de las normas generales que debe
cumplir el personal que participa en el sistema informático, las cuales se
derivan de los resultados obtenidos en el análisis de riesgos y de las definidas
por las instancias superiores en las leyes, reglamentos, resoluciones y otros
documentos rectores.
  

1. El mayor responsable de seguridad informática en los entornos es el

Director de la UEB.

2. El Director de la Entidad determinará, previa consulta y análisis con los

factores determinados, las personas autorizadas para operar y procesar
la información y recursos definidos como sensible.

3. El informático debe controlar por que se ejecute y se cumpla al 100% el

plan.
4. Las medidas y políticas de Seguridad Informática deben ser de
conocimiento de los trabajadores.

5. Los trabajadores de las diferentes áreas son responsables de la

protección de la información que utilicen o creen en el transcurso del
desarrollo de sus labores, que incluye protección del acceso a sus
microcomputadoras, cumplir con lo establecido respecto a los programas
de uso general y otras regulaciones.

6. Cualquier violación que se detecte en materia de seguridad informática

se comunicará al Responsable de Seguridad Informática quien tratará de
subsanar lo ocurrido; según la gravedad de la violación se informará al
Director  y al Jefe de Seguridad y Protección de la Entidad.

7. Los sistemas informáticos que se usan en la UEB, estarán protegidos

por contraseñas, las cuales son de uso personal para cada usuario, y
solo están instalados en las PC de los que realmente trabajan con estas
aplicaciones.
8. La red de la UEB será administrada por medio de un servidor de
dominio.
9. Los usuarios del dominio deberán ser creados mediante el Active
Directory.
10. Las cuentas de usuarios y  contraseñas deberán ser privadas y
personales, además de ser cambiadas cada 60 días.
11. La entrada a las computadoras será por medio de contraseñas.
12. El uso y entrada de los dispositivos externos extraíbles (memorias flash,
discos duros) estarán controlados y en el caso de los clientes ligeros
necesitarán de la autorización del Administrador de Red, en este caso el
Especialista Informático de la UEB.
13. Solo podrá existir un usuario administrador de la red, en este caso será
el Especialista Informático de la UEB.
14. El único autorizado a mover un medio informático de lugar es el
Especialista Informático de la UEB.
15. Los únicos autorizados para abrir una computadora o equipo
informático para su reparación, mantenimiento o mejora serán el
Especialista Informático de la UEB y la empresa o entidad con la
que se tenga firmado el contrato de servicios de reparaciones y
mantenimiento.
16. Toda la información vital para el funcionamiento de la UEB (carpeta
personal de usuarios – base de datos de aplicaciones existentes –
salvas al PGEmp – Imágenes a SO de los servidores – salvas a la
carpeta de correos de los usuarios) será salvada en dispositivos
extraíbles que estén destinados para esta tarea.
17. En el Expediente de las PC se recogerá la relación del personal
autorizado a trabajar y el responsable de este equipo.
18. Las PC que traten información sensible altamente crítica se encontrarán
fuera de la red local, sin conexión de ningún tipo.
19. El especialista Informático es el único autorizado a conectarse remoto a
cualquier PC de la UEB, esto se garantizará mediante la administración
por Dominio con Active Directory.
20. Las salvas a cualquier tipo de información se realizará en dependencia
de la importancia de la Información. En el caso de las Base de Datos
 estas se realizaran de manera automática periódicamente y se salvarán
en otro tipo de soporte cada 30 días. En cuanto a la información de los
usuarios, en casos extremos se hará de manera quincenal y en otros
casos se harán mensualmente. Las carpetas de correo de los usuarios
se salvarán de manera mensual también.
21. La conexión a redes externas serán monitoreadas por el Administrador
de Redes, en este caso el Especialista Informático. Solo tendrá acceso a
la red externa a quienes por razones de trabajo lo necesite. Y siempre
serán reguladas y revisadas por medio de un PROXY.
22. Todo proyecto de adquisición o de diseños de software serán aprobados
por el Director y el Especialista Informático de la UEB. En el caso de la
adquisición de equipos, deberá existir un plan de adquisición de equipos,
explicando siempre de manera detallada las necesidades de los mismos,
al igual que sus características. En el caso de proyectos de software
deberán seguir las políticas de seguridad informática sobre acceso y
usuarios, así como aprobados por el Director de la UEB.
23. En el caso de los medios que se adquieran deberá existir un registro del
destino final que tuvieron esos activos o piezas.
24. El correo de cada usuario es personal, no está autorizado ningún
usuario a recordar la contraseña de los mismos. Se regula que se pueda
abrir el correo mediante los navegadores Internet Explorer y Mozilla
Firefox. En el servidor se guardarán las trazas de todos los correos que
se reciban o envíen. Se prohíben las listas largas de distribución y los
correos que se consideren SPAM, así como la salida de correo de más
de 1 Megabyte de tamaño, que puedan congestionar la entrada y salida
de los mismos.
25. No está permitido el envió de correos obscenos,
contrarrevolucionarios  o que lleven adjunta información
clasificada.
26. En el caso que sea necesario usar algún sistema criptográfico, se
usarán llaves privadas y solamente el personal autorizado podrá tenerlas
en su poder. Este personal será definido por el Director de la UEB.
27. En el caso que sea necesario bloquear puerto de memoria, se usará el
MyUSBOnly como programa para realizar esta operación. Solo estará
 autorizado el Especialista Informático a introducir cualquier memoria que
no esté en la Base de Datos de este programa, así como es el único
autorizado a tener la contraseña del programa.
28. Las incidencias o violaciones del plan de seguridad informáticas serán
evidenciadas en un modelo y archivadas. En casos altos de violaciones
serán analizadas por el consejo de dirección de la UEB.
29. En las computadoras solo se puede tener información de trabajo, y
algunas cosas personales de los usuarios como Tesis, Clases,
Fotos Personales, Videos Personales.
30. En las computadoras está prohibido tener cosas obscenas, y
específicamente archivos de caracterización pornográfica.
31. Los usuarios de clientes ligeros no deben tener información guardada en
las imágenes de estos, esta debe ser guardada en la carpeta que tiene
creada en el servidor.

32. Se comunicarán a los trabajadores las sanciones que se impondrán en

caso de incurrir en negligencias que afecten la información de la
Entidad.

33. Los trabajadores no operarán los recursos informáticos sin estar

previamente adiestrados y autorizados por la Dirección de la Entidad o
quien esta delegue.

34. En caso de contratación de personal nuevo, el Responsable de

Seguridad Informática instruirá a estos el correcto uso de los recursos
informáticos y responderán por la integridad de la información de la
Entidad.

35. Los antivirus que se instalarán en las computadoras son los autorizados
por este plan. Los autorizados son el NOD32 y el KARSPERSKY en
cualquiera de sus versiones.  Todas las PC deberán contar con
protección antivirus.
36. Ante la aparición de funcionamientos anormales de los sistemas, redes 
o de la computadora deberá informarse al Especialista Informático.
37. No se pueden adquirir medios técnicos sin estar controlados por el
Director de la UEB, Económico y el Especialista Informático.
38. El uso de aplicaciones informáticas que se instalarán en cualquier
computadora está regulado por el Especialista Informático.
39. La ruptura de los medios técnicos computacionales se resolverán
directamente con el informático, y el ZETI.
40. El uso de contraseñas con parámetros de fortaleza en las sesiones es
obligatorio.
41. Los medios técnicos computacionales se usarán solo en función del
trabajo de la UEB.

42. Sólo se bajarán las informaciones que cumplan los objetivos de la

Entidad y para los usos que la misma tiene establecido entre sus
funciones.

43. Cada área se responsabiliza con la información que se recupere y

responderá a los efectos administrativos y legales.