Polticas Del Departamento De Informtica

Con el objetivo de velar por el buen funcionamiento y el optimo desempeo que

puedan generar los Equipos y Sistemas Informticos de la Municipalidad de
Carrillo, se trabajara da a da con la implementacin e implantacin de polticas que
definan y marquen las directrices que todos los colaboradores del ente municipal deben
seguir, para lograr avanzar juntos en una misma direccin, siempre con el fin de mejorar
y sacar adelante sus labores cotidianas en pro de brindar un servicio de calidad a toda la
ciudadana.
Los usuarios son responsables de cumplir con todas las polticas de la
Municipalidad de Carrillo relativas a la eguridad !nform"tica y en particular#
Polticas de Seguridad Generales
$. Conocer y aplicar las polticas y procedimientos apropiados en relacin al manejo de
la informacin y de los istemas !nform"ticos.
%. &o divulgar informacin confidencial de la Compaa a personas no autorizadas.
'. &o permitir y no facilitar el uso de los sistemas inform"ticos de la Compaa a
personas no autorizadas.
(. &o se permite la intercone)in a la red interna del edificio Municipal a toda aquella
persona que no sea funcionario de la institucin. Con la salvedad de funcionarios
e)ternos que provengan de !nstituciones *ubernamentales tales como# Contralora
*eneral de la +epublica ,C*+-, !nstituto de .omento y /sesora Municipal ,!./M-,
entre otros con autorizacin de la /dministracin.
1
0. &o utilizar los recursos inform"ticos ,1ard2are, soft2are o datos- y de
telecomunicaciones ,tel3fono, fa)- para otras actividades que no est3n directamente
relacionadas con el trabajo en la Municipalidad de Carrillo.
4. 5roteger meticulosamente su contrasea y evitar que sea vista por otros en forma
inadvertida.
6. eleccionar una contrasea robusta que no tenga relacin obvia con el usuario, sus
familiares, el grupo de trabajo, y otras asociaciones parecidas.
7. +eportar inmediatamente a su jefe inmediato y al 8ncargado del 9epartamento de
!nform"tica cualquier evento que pueda comprometer la seguridad de la Municipalidad
de Carrillo y sus recursos inform"ticos, como por ejemplo contagio de virus, intrusos,
modificacin o p3rdida de datos y otras actividades poco usuales.
2
Polticas de Seguridad para Computadores y Respaldos de Informacin
$. Los computadores de la Municipalidad de Carrillo slo deben usarse en un ambiente
seguro. e considera que un ambiente es seguro cuando se 1an implantado las
medidas de control apropiadas para proteger el soft2are, el 1ard2are y los datos.
8sas medidas deben estar acorde a la importancia de los datos y la naturaleza de
riesgos previsibles.
%. 8s responsabilidad de los usuarios, velar por el aseo y proteccin de los equipos de
trabajo: esto incluye limpieza de las zonas donde se encuentran instalados los
equipos, utilizar medios de proteccin contra el polvo, agua, incendio, etc.
'. Los equipos de la Municipalidad de Carrillo slo deben usarse para actividades de
trabajo y no para otros fines, tales como juegos y pasatiempos.
(. 9ebe respetarse y no modificar la configuracin de 1ard2are y soft2are establecida
por el 8ncargado del 9epartamento de !nform"tica
0. Como medida de 1igiene y de seguridad del equipo fsico inform"tico ,;ard2are-,
queda totalmente pro1ibido sin e)cepcin alguna el fumar, ingerir bebidas o alimentos
mientras se est3n utilizando las estaciones de trabajo, impresoras y cualquier otro
equipo que tenga que ver con la infraestructura inform"tica, ya que este tipo de
pr"ctica pone en riesgo el buen funcionamiento de los dispositivos.
6. er" responsabilidad del encargado del equipo de trabajo: el velar por el buen
funcionamiento y cuidado del computador: por lo tanto si este ultimo llegase a
quebrantar negligentemente la poltica <referida a la higiene y seguridad del equipo
fsico informtico=, recaer"n sobre este todas las acciones pertinentes, para lograr que
la estacin de trabajo se mantenga funcionando en su estado normal entre las
acciones est"n#
3
8l reemplazo total o parcial del equipo afectado en un periodo que no
sobrepase los '> das: a partir del da en que ocurrido el accidente.
8n caso de perdida de informacin estrat3gica e indispensable para la
8ntidad Municipal, sobre el encargado del computador recaer"n las
medidas de castigo que imponga la /dministracin.
6. Cualquier falla en los computadores o en la red debe reportarse inmediatamente al
8ncargado del 9epartamento de !nform"tica ya que podra causar problemas serios
como p3rdida de la informacin o indisponibilidad de los servicios.
7. 9eben protegerse los equipos para disminuir el riesgo de robo, destruccin, y mal
uso. Las medidas que se deben de implantar, incluyen el uso de vigilantes y cerradura
con llave.
?. Los equipos deben marcarse para su identificacin y control de inventario. Los
registros de inventario deben mantenerse actualizados.
$>.&o pueden moverse los equipos o reubicarlos sin permiso. 5ara llevar un equipo
fuera de la Compaa se requiere una autorizacin escrita del 8ncargado del
9epartamento de !nform"tica con previa aprobacin de la /dministracin.
$$.La p3rdida o robo de cualquier componente de 1ard2are o programa de soft2are
debe ser reportada inmediatamente al 8ncargado del 9epartamento de !nform"tica.
$%.5ara prevenir el acceso no autorizado, los usuarios deben usar un sistema de
contraseas robusto y adem"s deben configurar el protector de pantalla para que se
active al cabo de $> minutos de inactividad y que requiera una contrasea al reasumir
la actividad. /dem"s el usuario debe activar el protector de pantalla manualmente
cada vez que se ausente de su oficina.
4
$'.Los datos confidenciales que aparezcan en la pantalla deben protegerse de ser vistos
por otras personas mediante disposicin apropiada del mobiliario de la oficina y
protector de pantalla. Cuando ya no se necesiten o no sean de utilidad, los datos
confidenciales se deben ocultar de la pantalla.
$(.9ebe implantarse un sistema de autorizacin y control de acceso con el fin de
restringir la posibilidad de los usuarios para leer, escribir, modificar, crear, o borrar
datos importantes. 8stos privilegios deben definirse de una manera consistente con
las funciones que desempea cada usuario.
$0.&o est" permitido llevar al sitio de trabajo computadores port"tiles ,laptops- y en caso
de ser necesario se requiere solicitar la autorizacin correspondiente.
16./ menos que se indique lo contrario, los usuarios deben asumir que todo el soft2are
de la Municipalidad de Carrillo est" protegido por derec1os de autor y requiere
licencia de uso. 5or tal razn es ilegal y est" terminantemente pro1ibido 1acer copias
o usar ese soft2are para fines personales. 8s responsabilidad de cada usuario 1acer
entrega de todos los discos referentes a las licencias que posea la estacin de trabajo
que esta bajo su cargo al 8ncargado del 9epartamento de !nform"tica: en el caso de
perdida de los discos por parte del usuario, este ultimo debe de justificar por escrito
ante el 8ncargado del 9epartamento de !nform"tica y ante la /dministracin bajo que
situaciones se genero la perdida. 8stos @ltimos se encargaran de aplicar la sancin
correspondiente.
$6.Los usuarios no deben copiar a un medio removible ,como un disAette, C9B+CM,
dispositivos de almacenamiento masivo-, el soft2are o los datos residentes en las
computadoras de la Municipalidad de Carrillo, para ser trasladados fuera de las
instalaciones, sin la aprobacin previa del 8ncargado del 9epartamento de
!nform"tica.
5
$7.&o pueden e)traerse datos fuera de la sede de la Municipalidad de Carrillo sin la
aprobacin previa de la /dministracin. 8sta poltica es particularmente pertinente a
aquellos que usan a computadoras port"tiles o est"n conectados a redes como
!nternet.
$?.9ebe instalarse y activarse una 1erramienta antivirus, la cual debe mantenerse
actualizada. i se detecta la presencia de un virus u otro agente potencialmente
peligroso, se debe notificar inmediatamente al 8ncargado del 9epartamento de
!nform"tica y poner la 5C en cuarentena 1asta que el problema sea resuelto.
%>.9ebe utilizarse un programa antivirus para e)aminar todo soft2are que venga de
afuera ,!nternet- o inclusive de otros departamentos de la Municipalidad de Carrillo.
%$.&o debe utilizarse soft2are bajado de !nternet y en general soft2are que provenga de
una fuente no confiable, a menos que se 1aya sido comprobado en forma rigurosa y
que est3 aprobado su uso por el 9epartamento de !nform"tica.
%%.5ara prevenir demandas legales o la introduccin de virus inform"ticos, se pro1be
estrictamente la instalacin de soft2are no autorizado, incluyendo el que 1aya sido
adquirido por el propio usuario. /s mismo, no se permite el uso de soft2are de
distribucin gratuita, a menos que 1aya sido previamente aprobado por el
9epartamento de !nform"tica.
%'.&o deben usarse disAettes u otros medios de almacenamiento en cualquier
computadora de la Municipalidad de Carrillo a menos que se 1aya previamente
verificado que est"n libres de virus u otros agentes dainos.
%(.5eridicamente debe 1acerse el respaldo de los datos guardados en 5Cs y
servidores y las copias de respaldo deben guardarse en un lugar seguro, a prueba de
6
1urto, incendio e inundaciones. Los programas y datos vitales para la operacin de
Municipalidad de Carrillo debe guardarse en otra sede, lejos del edificio.
%0.Los usuarios de 5Cs son responsables de proteger los programas y datos contra
p3rdida o dao. 5ara sistemas multiusuario y sistemas de comunicaciones, el
8ncargado del 9epartamento de !nform"tica es responsable de 1acer copias de
respaldo peridicas. Los gerentes de los distintos departamentos son responsables de
definir qu3 informacin debe respaldarse, as como la frecuencia del respaldo ,por
ejemplo# diario, semanal- y el m3todo de respaldo ,por ejemplo# incremental, total-.
%4.5or disposicin del 8ncargado del 9epartamento de !nform"tica, y pese a la poca
confiabilidad de realizar los respaldos del programa !M%$ en disAettes, este ultimo
proceder" a realizar los respaldos diarios de la siguiente manera#
9a a da respaldara la informacin de la carpeta llamada !M%$ ,Dbicada en
el disco 9# del servidor de la entidad Municipal-, en un C9: porque este tipo
de dispositivo de almacenamiento proporciona mayor confiabilidad y
seguridad de la informacin contenida en ellos.
%6./l igual que la poltica anterior: pero con respecto a la aplicacin !M/CC ,para uso
del 9ep. Contabilidad, .inanciero y 5roveeduria-, el 8ncargado del 9epartamento de
!nform"tica proceder" a realizar el respaldo diario de la carpeta +85/L9CE!M/CC
,Dbicada en el disco 9# del servidor de la entidad Municipal-, en el mismo C9 donde
se respalda la informacin del sistema !M%$, esto siempre y cuando el dispositivo de
almacenamiento cuente con la capacidad de almacenar tales datos. 8n el momento
en que &o sea factible respaldar la informacin de los dos sistemas en un mismo C9,
se proceder" a resguardar los datos de dic1as aplicaciones en C9Fs separados.
7
%7.Los usuarios deben de vigilar cautelosamente las impresoras, sobre todo si se est"
imprimiendo ,o se va a imprimir- informacin confidencial de la Municipalidad de
Carrillo.
%?.8l personal que utiliza un computador port"til que contenga informacin confidencial
de la Municipalidad de Carrillo, no debe dejarla desatendida, sobre todo cuando est3
de viaje, y adem"s esa informacin debe estar estrictamente protegida.
8
Polticas de Seguridad para las Comunicaciones
Los sistemas de comunicacin de la Municipalidad de Carrillo generalmente slo deben
usarse para actividades de trabajo. 8l uso personal en forma ocasional es permisible
siempre y cuando consuma una cantidad mnima de tiempo y recursos, y adem"s no
interfiera con la productividad del empleado ni con las actividades de la Municipalidad de
Carrillo.
$. e pro1be el uso de los sistemas de comunicacin para actividades comerciales
privadas o para propsitos de entretenimiento y diversin.
%. La navegacin en !nternet para fines personales no debe 1acerse a e)pensas del
tiempo y los recursos de la Municipalidad de Carrillo y en tal sentido deben usarse las
1oras no laborables.
Polticas de seguridad para redes
8l propsito de esta poltica es establecer las directrices, los procedimientos y los
requisitos para asegurar la proteccin apropiada de la !nformacin concerniente a la
Municipalidad de Carrillo: al estar conectada a redes de computadoras.
$. 8s poltica de la Municipalidad de Carrillo pro1ibir la divulgacin, duplicacin,
modificacin, destruccin, p3rdida, mal uso, robo y acceso no autorizado de
informacin propietaria.
2. Godos los cambios en los servidores y equipos de red de la Municipalidad de Carrillo,
incluyendo la instalacin del nuevo soft2are, el cambio de direcciones !5, la
reconfiguracin de routers y s2itc1s, deben ser documentados y debidamente
aprobados, e)cepto si se trata de una situacin de emergencia. Godo esto es para
evitar problemas por cambios apresurados y que puedan causar interrupcin de las
9
comunicaciones, cada de la red, denegacin de servicio o acceso inadvertido a
informacin confidencial.
10
Cuentas de los !suarios
$. Cuando un usuario recibe una nueva cuenta, debe firmar un documento donde
declara conocer las polticas y procedimientos de seguridad, y acepta sus
responsabilidades con relacin al uso de esa cuenta.
%. La solicitud de una nueva cuenta o el cambio de privilegios debe ser 1ec1a por escrito
y debe ser debidamente aprobada por el 8ncargado del 9epartamento de !nform"tica.
'. &o debe concederse una cuenta a personas que no sean empleados de la
Municipalidad de Carrillo a menos que est3n debidamente autorizados por la
/dministracin.
4. 8s responsabilidad de cada Hefe de 9epartamento, el emitir la solicitud de creacin,
actualizacin o eliminacin ,ya sea temporal o definitiva, por causas como
vacaciones, incapacidades, despido, u otra- de una cuenta de usuario en el !M: para
cada uno de los dem"s colaboradores del departamento.
5. Es responsa"ilidad del Encargado #a$ del Departamento de Recursos %umanos
de suministrar al Encargado #a$ del Departamento de Informtica las respecti&a
accin de personal de todo aquel funcionario que posee una cuenta de acceso
al SI'( Esto con el o")eti&o de que este ultimo realice las la"ores de
mantenimiento al modulo de usuarios del sistema y as mismo ad)unte la
respecti&a )ustificacin( (Nueva Poltica Incorporada el da *+ de no&iem"re del ,--./ se
0i1o el respecti&o conocimiento de la misma al encargado #a$ del Departamento de RR%% por
medio del oficio 23 'C4I54--.64,--.$
4. 8s responsabilidad del Hefe de 9epartamento de !nform"tica, el emitir un documento
oficial en el cual se estipule e)plcitamente el nivel de acceso al !M especificado.
11
9ic1o documento contara con la firma tanto del Hefe de 9epartamento de !nform"tica
como del nuevo usuario de la cuenta.
6. 8n encargado del 9epartamento de !nform"tica es el @nico funcionario de la
institucin que cuenta con la potestad de la creacin, actualizacin o eliminacin de
las cuentas de los usuarios del !M.
7. Las personas involucradas en el proceso de activacin o desactivacin de las cuentas
de usuario, serian#
$. 5ara la creacin, actualizacin o eliminacin de los usuarios del !M, adem"s de
la presencia del 8ncargado del 9epartamento de !nform"tica: ser" necesario que
el futuro usuario de la cuenta este presente para que digite su Clave: y as poder
insertarlo al sistema.
?. Como medida de seguridad y control cada cuatro meses ,o sea tres veces al ao-, se
cambiaran todas las claves de los usuarios del !M, esto con el objetivo de prevenir
cualquier acceso indebido al sistema por parte de un usuario que conozca la clave de
otro.
$>.Con respecto al formato de las claves de usuario, se establece que estas ultimas
deben#
$. Combinar letras y n@meros.
%. Gener un tamao de siete caracteres.
'. I como medida de seguridad se le especificara a cada usuario que su clave
no debe de tener ninguna relacin directa con ellos, para evitar que cualquier
otra persona f"cilmente descubra la clave que utilizan para ingresar al !M%$.
12
11.8s responsabilidad del /uditor !nterno de la Municipalidad de Carrillo el revisar
peridicamente el listado de usuarios activos en el !M, adem"s de verificar si el nivel
de acceso con que cuentan corresponde a las labores que realizan. Gambi3n
12.8s responsabilidad del /uditor !nterno de la Municipalidad de Carrillo monitorear las
transacciones realizadas por cada uno de los usuarios del !M, esto con el objetivo de
llevar un control de los datos y la informacin manipulada por los usuarios dentro del
sistema.
$'.&o deben otorgarse cuentas a t3cnicos de mantenimiento ni permitir su acceso
remoto a menos que el 8ncargado del 9epartamento de !nform"tica determine que es
necesario. 8n todo caso esta facilidad slo debe 1abilitarse para el periodo de tiempo
requerido para efectuar el trabajo.
$(.e pro1be el uso de cuentas annimas o de invitado y los usuarios deben entrar al
sistema mediante cuentas que indiquen claramente su identidad.
$0.Cuando un empleado es despedido o renuncia a la Municipalidad de Carrillo, debe
desactivarse su cuenta antes de que deje el cargo.
Contrase7as y el Control de 8cceso
$. 8l usuario no debe guardar su contrasea en una forma legible en arc1ivos en disco,
y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser encontrada. i
1ay razn para creer que una contrasea 1a sido comprometida, debe cambiarla
inmediatamente. &o deben usarse contraseas que son id3nticas o substancialmente
similares a contraseas previamente empleadas. iempre que sea posible, debe
impedirse que los usuarios vuelvan a usar contraseas anteriores.
13
%. &unca debe compartirse la contrasea o revelarla a otros. 8l 1acerlo e)pone al
usuario a las consecuencias por las acciones que los otros 1agan con esa
contrasea.
'. 8st" pro1ibido el uso de contraseas de grupo para facilitar el acceso a arc1ivos,
aplicaciones, bases de datos, computadoras, redes, y otros recursos del sistema. 8sto
se aplica en particular a la contrasea del administrador.
(. Las contraseas predefinidas que traen los equipos nuevos tales como routers,
s2itc1s, etc., deben cambiarse inmediatamente al ponerse en servicio el equipo.
0. i no 1a 1abido ninguna actividad en una Germinal, 5C o estacin de trabajo durante
un cierto periodo de tiempo, el sistema debe autom"ticamente borrar la pantalla y
suspender la sesin. 8l periodo recomendado de tiempo es de $> minutos. 8l reB
establecimiento de la sesin requiere que el usuario proporcione se autentique
mediante su contrasea.
4. Los usuarios no deben intentar violar los sistemas de seguridad y de control de
acceso. /cciones de esta naturaleza se consideran violatorias de las polticas de la
Municipalidad de Carrillo, pudiendo ser causal de despido.
6. 5ara tener evidencias en casos de acciones disciplinarias y judiciales, cierta clase de
informacin debe capturarse, grabarse y guardarse cuando se sospec1e que se est3
llevando a cabo abuso, fraude u otro crimen que involucre los sistemas inform"ticos.
7. Los arc1ivos de bit"cora ,logs- y los registros de auditoria ,audit trails- que graban los
eventos relevantes sobre la seguridad de los sistemas inform"ticos y las
comunicaciones, deben revisarse peridicamente y guardarse durante un tiempo
prudencial de por lo menos tres meses. 9ic1o arc1ivos son importantes para la
deteccin de intrusos, brec1as en la seguridad, investigaciones, y otras actividades de
14
auditoria. 5or tal razn deben protegerse para que nadie los pueda alterar y que slo
los puedan leer las personas autorizadas.
9. Los servidores de red y los equipos de comunicacin deben estar ubicados en locales
apropiados, protegidos contra daos y robo. 9ebe restringirse severamente el acceso
a estos locales y a los cuartos de comunicacin a personas no autorizadas mediante
el uso de cerraduras y otros sistemas de acceso.
8sta serie de 5olticas descritas anteriormente vienen a contribuir al ordenamiento
y administracin de los equipos y sistemas inform"ticos del ente municipal, por lo tanto
es responsabilidad de todos los colaboradores de la Municipalidad de Carrillo aplicar y
velar por el cumplimiento de cada unas de estas disposiciones: adem"s de reportar al
8ncargado del 9epartamento de !nform"tica acerca del incumplimiento de estas.
15