Polticas de Seguridad de los Recursos Informticos de la Consultora

1. OBJETIVOS:
En razn de que la informacin es un recurso que, como el resto de los activos,
tiene valor para la Institucin y por consiguiente debe ser protegida, la
presente Poltica de Seguridad de los Recursos Informticos tiene el propsito de
gestionar adecuadamente la seguridad de la informacin, los sistemas
informticos y el ambiente tecnolgico de los Organismos.
Estas polticas protegen los recursos de informacin de la consultora y la
tecnologa utilizada para su procesamiento de una amplia gama de amenazas,
internas o externas, deliberadas o accidentales, a fin de garantizar la integridad de
los recursos informticos que la consultora pone a disposicin de los usuarios
para el cumplimiento de sus tareas.
Es importante que los principios de la Poltica de Seguridad sean parte de la
cultura organizacional, por lo tanto, se debe asegurar un compromiso manifiesto
de las mximas Autoridades de la Institucin y de los jefes de oficinas para la
difusin, consolidacin y cumplimiento de esta poltica.

2. ALCANCE
El acceso a los diferentes sistemas de informacin y/o tecnologas informticas
que existen en la consultora conforman herramientas para mejorar la eficiencia en
la prestacin de las actividades y generan una correlativa responsabilidad a todos
los usuarios de dichos elementos.
Por lo tanto, las polticas de seguridad debern ser conocidas y cumplidas por
toda la planta de personal de la Institucin en todas sus jurisdicciones, tanto se
trate de personal judicial, administrativo o tcnico, sea cual fuere su nivel
jerrquico y su situacin de revista que utilice elementos informticos, cualquiera

fuere la relacin contractual que lo uniere con el organismo en el que se

desempea.
Se aplicar a la utilizacin tanto de los sistemas software, a los equipos
informticos (computadoras, impresoras, etc.), as como tambin a los recursos de
la Red la consultora ms especficamente al acceso y operacin de dicha red y al
uso correcto de Internet (navegacin, correo electrnico, etc.) cualquiera sea el
horario en que se efecte.
Cualquier situacin que pudiere plantearse y que no se encuentre prevista en el
presente reglamento, en razn de los continuos avances tecnolgicos, quedar a
consideracin de la Secretara de Informacin Jurdica.

3. DISPOSICIONES GENERALES
En razn de que actualmente, la consultora cuenta con un parque informtico de
aproximadamente

20

computadoras

con

sus

respectivos

usuarios

(en

jurisdicciones de capital e interior), resulta necesario establecer una poltica de

seguridad para proteger a los equipos de software poco confiable, especificando
qu software est autorizado para ser ejecutado en una computadora, y prevenir
la instalacin no autorizada de software ilegal para la consultora.
3.1. Instalacin de software
El software que deber instalarse por defecto en todos los equipos de la
consultora es el siguiente:
Sistema Operativo.
Antivirus

Suite de ofimtica de preferencia con tecnologa OpenDocument o cualquier otro

compatible con los sistemas informticos internamente desarrollados.
Cliente de Correo Electrnico, en el caso de usuarios con cuentas de correo oficial
y/o usuarios autorizados.
Sistemas de Consultas de Jurisprudencia, si correspondiera.
Sistemas de Gestin de Expedientes y/o desarrollados a medida del organismo, si
correspondiera.
Producto que gestione base de datos o presentaciones de diapositivas, si
correspondiera.
Empleo de software adicional.
El usuario deber hacer uso de una solicitud para la instalacin de cualquier tipo
de paquetes de software adicional requerido para su trabajo. La instalacin del
mismo ser efectuada por el personal informtico dependiente de la Secretara de
Informacin Jurdica, previa verificacin de los requerimientos necesarios para su
instalacin y adems del completo licenciamiento del mismo. Asimismo, deber
contarse con la autorizacin del Sr. Vocal Supervisor de Informtica.
3.2. Cuentas de Usuario: Identificadores y contraseas
El nombre de usuario (identificador) y su correspondiente contrasea proveen
acceso a una cuenta de un usuario de la red de la consultora y a los permisos
asociados a ella.
El usuario debe tener una cuenta de red para obtener acceso a los recursos
compartidos de la red de la consultora. Si el usuario no est dado de alta en el
sistema no podr hacer uso de los recursos ni de los equipos dentro de la
institucin dado que de antemano est restringido por no disponer de una cuenta
de usuario.

La contrasea no debe hacer referencia a ningn concepto, objeto o idea

reconocible. Por tanto, se debe evitar utilizar en las contraseas fechas
significativas, das de la semana, meses del ao, nombres de personas, telfonos,
etc.
En caso que el sistema no lo solicite automticamente, es preferible que el usuario
cambie la contrasea asignada la primera vez que realiza un acceso vlido al
sistema, y actualizarla en lapsos no mayores a los 3 meses.
Todos los usuarios con acceso a un sistema de informacin, dispondrn de una
nica autorizacin de acceso compuesta de identificador de usuario y contrasea.
Las cuentas de usuario comunes no cuentan con los permisos necesarios para la
administracin de los equipos de trabajo instalado, es decir, nicamente les
permite hacer uso de los programas comunes instalados en la computadora como
son programas de oficina, sistema operativo y servicios bsicos como impresin,
correo, etc. Slo el personal informtico dependiente de la Secretara de
Informacin Jurdica, puede realizar tareas propias de un administrador del equipo
(configuracin de dispositivos, agregar o quitar programas, agregar o eliminar
hardware, etc.)
A todos los usuarios de red y equipos se les asignar un nombre normalizado y
unificado.

4. POLTICAS de RESTRICCIN de los RECURSOS INFORMTICOS

4.1 Uso Aceptable
Se acepta que los usuarios aprovechen en forma limitada los elementos
informticos para un uso personal que derive en su mejor capacitacin,
jerarquizacin y/o especializacin en sus conocimientos, prcticas y habilidades o
para aprovechar los beneficios de la Informtica.

El uso aceptable no podr interferir con las actividades o funciones que el usuario
cumple, ni con la misin y gestin oficial del organismo o dependencia.
Este uso personal podr hacerse siempre que el recurso se encuentre disponible y
no exista otro usuario que precise emplear el recurso para sus tareas laborales.
El uso aceptado no se considera un derecho del usuario y se encuentra sujeto al
estricto control permanente de la autoridad de aplicacin y de la autoridad del
organismo donde el usuario desempea sus funciones.
El uso aceptado puede ser controlado, revocado o limitado en cualquier momento
por razn de la funcin, por cuestiones operativas y/o de seguridad de la Red ya
sea por la autoridad de aplicacin y/o por los funcionarios responsables del
organismo.
No se considera uso aceptable aquel que demande un gasto adicional para el
organismo, excepto el que derive del uso normal de los recursos informticos.
Bajo ninguna circunstancia el uso de los recursos informticos por parte de los
usuarios deber influir de manera negativa en el desempeo, la imagen, en las
tareas o generar responsabilidades para la consultora
4.2. Usos Indebidos
Se definen expresamente como usos indebidos los siguientes:
Modificar o reubicar equipos de computacin, software, informacin, perifricos y/o
cualquier otro medio de soporte de informacin (discos compactos, disquetes,
cintas, etc.) sin la debida autorizacin de la Secretara de Informacin Jurdica.
Modificar, alterar y/o borrar, sin las autorizaciones correspondientes, la informacin
o las configuraciones de sistemas operativos o los aplicativos instalados por las
personas autorizadas para tal efecto.

Transgredir o eludir las verificaciones de identidad u otros sistemas de seguridad;

Realizar cualquier actividad de recreacin personal o de promocin de intereses
personales (tales como creencias religiosas, hobbies, etc.) ;
Instalar o conectar cualquier equipamiento no autorizado;
Acceder al cdigo fuente de una obra de software sin autorizacin explcita del
autor (rea de software y aplicaciones) con la finalidad de modificarlo;
Alterar, falsificar o de alguna otra forma usar de manera fraudulenta los archivos,
permisos, documentos de identificacin, u otros documentos o propiedades;
Leer informacin o archivos de otros usuarios sin su permiso;
Difundir indebidamente y/o indiscriminadamente la informacin privada o pblica a
que tuviere acceso con motivo de la funcin o actividad que desempea;
Intentar obtener otros derechos o accesos distintos a aquellos que les hayan sido
asignados.
Intentar acceder a reas restringidas de los Sistemas de Informacin.
Intentar distorsionar o falsear los registros de los Sistemas de Informacin.
Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro
elemento de seguridad que intervenga en los procesos.
Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo de
otros Usuarios, o daar o alterar los Recursos Informticos.
Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos
que precisen para el desarrollo de sus funciones, conforme a los criterios
establecidos por el responsable del organismo.

Todo el personal que accede a los Sistemas de Informacin de la consultora debe

utilizar nicamente las versiones de software facilitadas por personal autorizado
del rea competente y siguiendo sus normas de utilizacin.
4.3. Usos Prohibidos
La sustraccin de equipos o perifricos informticos, y/o cualquier otro medio de
soporte de informacin (discos compactos, disquetes, cintas, etc.) constituye un
delito de accin pblica.
Se encuentra expresamente prohibido el uso de la Red o de cualquier recurso
informtico que infrinja normas nacionales o provinciales, causen dao o
perjudiquen a la consultora o a tercero.
Se encuentra especialmente prohibido el uso de cualquier recurso informtico
para:
Grabar, modificar o borrar software, informacin, bases de datos o registros de la
consultora que no estn incluidas como tareas propias del usuario.
Inferir cualquier dao a los equipos o a la informacin, las configuraciones de
sistemas operativos o los aplicativos que se encuentren en ellos instalados;
Acceder sin autorizacin a los sistemas de informacin de los diferentes
organismos;
Obtener cualquier tipo de ganancia econmica personal;
Revelar o compartir contraseas de acceso, propias o de terceros, con otros
usuarios as como el uso de la identificacin, identidad, firma electrnica o digital
de otro usuario;
Enviar cualquier transmisin de datos en forma fraudulenta;

Introducir en los Sistemas de Informacin o la Red contenidos obscenos,

amenazadores, inmorales u ofensivos;
Utilizar cualquier sistema de correo o cualquier tipo de comunicacin electrnica
con el propsito de revelar informacin privada de otras personas, sin su
consentimiento;
Utilizar cualquier sistema de correo electrnico o cualquier tipo de comunicacin
electrnica con el propsito de daar o perjudicar de alguna manera los recursos
informticos;
Lanzar cualquier tipo de virus, gusano, macros, applets, controles ActiveX o
cualquier otro dispositivo lgico o secuencia de caracteres cuya intencin sea
hostil, destructiva, o que afecte directamente en el funcionamiento adecuado de
los diferentes sistemas y recursos informticos;
Realizar cualquier actividad contraria a los intereses de la consultora, tal como
publicar informacin reservada, acceder sin autorizacin a recursos o archivos o
impedir el acceso a otros usuarios mediante el mal uso deliberado de recursos
comunes;
Alterar, falsificar o de alguna otra forma usar de manera fraudulenta los archivos,
permisos, documentos de identificacin u otros documentos o propiedades;
Acceder, descargar, transmitir, distribuir o almacenar videos, msica, imgenes,
documentos y/o cualquier otro software o archivo cuya finalidad no se ajuste a la
responsabilidad laboral de las funciones conferidas al agente;
Violar cualquier ley o norma provincial o nacional, respecto al uso de los sistemas
de informacin as como tambin realizar cualquier conducta ilegal contraria a la
legislacin aplicable de cualquier pas al que se pueda tener acceso por la Red.
4.4. Responsabilidades

Ningn usuario debe usar la identificacin, identidad, firma electrnica, firma digital
o contrasea de otro usuario, aunque dispongan de la autorizacin del propietario.
Los usuarios de la red deben tomar los recaudos y la precaucin para mantener su
cuenta segura, es decir que no deben revelar bajo ningn concepto su contrasea
o identificacin a otro, a excepcin en casos que deban facilitarse para la
reparacin o mantenimiento de algn sistema o equipo. En este caso y en forma
estrictamente circunstancial, slo deber hacerlo al personal tcnico o informtico
debidamente identificado, con la posibilidad que posteriormente dicho agente
solicite al rea tcnica responsable, la modificacin de claves, contraseas u otro
tipo de elemento de seguridad que implique riesgo de acceso por un tercero a los
diferentes sistemas de informacin.
Si un usuario tiene sospechas de que su acceso autorizado (identificador de
usuario y contrasea) est siendo utilizado por otra persona, debe proceder al
cambio de su contrasea y contactar con el rea de Asistencia y Capacitacin
Tcnica a Usuarios para notificar la incidencia.
Es responsabilidad del usuario el cuidado y buen trato de los recursos informticos
asignados.
4.5. Derechos y Deberes de los usuarios
Son derechos de los usuarios:
Recibir ayuda y asesoramiento por parte del personal del servicio tcnico
correspondiente.
Formular las sugerencias que estimen oportunas para mejorar el servicio.
Disponer de los recursos provistos por la consultora, dentro de las normas
correspondientes, para la gestin y la carga de trabajo asignados.
Acceder a informacin relacionada con su funcin.

Utilizar el correo electrnico, listas de discusin y otros servicios, locales o de

internet, siempre que tengan relacin directa con la funcin del usuario en el
organismo.
Utilizar los recursos informticos en forma limitada para su capacitacin, sin que
dicho uso interfiera con las actividades o funciones que el usuario cumple, ni con
la misin y gestin oficial del organismo o dependencia.
Acceder a los cursos de capacitacin y actualizacin que los Organismos
implementen en funcin de las actividades y labores que los usuarios desarrollen.
Utilizar los recursos informticos de conformidad con las presentes normas.
Son deberes de los usuarios:
Notificar al personal informtico de los cambios de funciones dentro del mismo
organismo, o su traslado a otro, a fin de asignarle nuevos permisos o nuevos
sistemas segn corresponda.
Contribuir al cuidado y conservacin de las instalaciones, equipos y sistemas.
Notificar al personal del servicio tcnico de las anomalas que se detecten, tanto
de software como de hardware.
Respetar las indicaciones que reciban de los responsables de cada rea respecto
al uso y funcionamiento de los equipos.
El cumplimiento de las normas y condiciones establecidas en la presente
normativa.
5. POLTICAS de SEGURIDAD FSICA y AMBIENTAL
5.1 Control de acceso fsico

Controlar y limitar el acceso a las instalaciones de procesamiento de informacin,

exclusivamente a las personas autorizadas.
Cuando se trate de instalaciones de procesamiento de informacin confidencial,
slo bajo la vigilancia de personal autorizado, puede el personal de cualquier
organismo entrar a dichas instalaciones, y durante un perodo de tiempo corto.
5.2 Ubicacin y proteccin del equipamiento informtico
El equipamiento ser ubicado y protegido de tal manera que se reduzcan los
riesgos ocasionados por amenazas y peligros ambientales, y las oportunidades de
acceso no autorizado, teniendo en cuenta los siguientes puntos:
Ubicar el equipamiento en un sitio donde se provea un control de acceso
adecuado (puertas con cerraduras, ventanas con trabas, etc.).
Adoptar controles adecuados para minimizar el riesgo de amenazas potenciales
por: robo o hurto, incendio, humo, polvo, vibraciones, inundaciones o filtraciones
de agua, efectos qumicos, radiacin electromagntica, derrumbes, interferencia
en el suministro de energa elctrica (cortes de suministro, variacin de tensin).
En este ltimo caso, desconectar de la alimentacin principal nicamente el
equipamiento y esperar hasta el restablecimiento normal de la misma. Nunca
desconectar ninguna ficha del gabinete estando encendido el equipo .
Revisar regularmente las condiciones ambientales para verificar que las mismas
no afecten de manera adversa el funcionamiento del equipamiento informtico.
5.3 Mantenimiento del equipamiento informtico
Slo personal autorizado y calificado, dependiente de la Secretara de Informtica
Jurdica, puede brindar mantenimiento y llevar a cabo reparaciones en los equipos
y/o perifricos informticos.

En el caso de que la reparacin implique el formateo y/o reemplazo de disco

rgido, se deber realizar previamente las respectivas copias de resguardo, salvo
en el caso de que dicho dispositivo se encuentre inutilizado, y sea imposible
realizarlas.
5.4 Copias de Seguridad de la informacin
Los usuarios podrn solicitar, cuando lo consideren necesario, la realizacin de
copias de resguardo de la informacin sensible o crtica para el Organismo. Este
requerimiento deber ser efectuado al personal tcnico dependiente de la
Secretara de Informtica Jurdica.
5.5. Polticas de Escritorios y Pantallas Limpias
Se deber adoptar una poltica de escritorios limpios para proteger los dispositivos
de almacenamiento removibles y una poltica de pantallas limpias en los equipos
informticos, a fin de reducir los riesgos de acceso no autorizado, prdida y dao
de la informacin, tanto durante el horario normal de trabajo como fuera del
mismo.
Se aplicarn los siguientes lineamientos:
a) Almacenar en un mobiliario seguro bajo llave, cuando corresponda, los medios
informticos con informacin sensible o crtica del Organismo, cuando no estn
siendo utilizados, especialmente fuera del horario de trabajo.
b) Evitar dejar abiertos documentos, unidades de almacenamiento de datos y
sistemas informticos, en el caso de ausentarse del puesto de trabajo con el fin de
preservar y garantizar la integridad y seguridad de los mismos.
c) Retirar inmediatamente la informacin sensible o confidencial, una vez impresa.
5.6. Ingreso y Retiro de bienes informticos

La introduccin de cualquier equipo o perifrico informtico ajeno a la consultora,

no podr realizarse sin previa autorizacin de la Secretaria de Informacin
Jurdica.
Cualquier equipo o perifrico informtico perteneciente a la consultora, como as
tambin aquellos ajenos al mismo pero que estn autorizados a funcionar, no
podrn ser retirados de la sede del Organismo sin autorizacin formal.

6. OTRAS RESTRICCIONES
6.1 Provisin de insumos informticos
Las solicitudes de insumos informticos como ser disquetes, tinta para impresora
(cintas/ cartuchos/toners), discos compactos (CD), resmas de papel continuo, etc.,
debern realizarse al rea de Insumos, con autorizacin formal del Organismo
interesado.
6.2. Asistencia Informtica
Los usuarios debern canalizar las peticiones de asistencia o soporte tcnico al
rea de Asistencia Tcnica y Capacitacin a Usuarios, dependiente de la
Secretara de Informacin Jurdica.
6.3 Monitorizacin
Los usuarios que utilicen equipos del Organismo para acceder a la red e Internet
estn sujetos a ser monitoreados, en sus actividades por personal de sistemas o
redes, autorizado a tal efecto. Dicha tarea se realizar a travs de los mecanismos
formales y tcnicos que se consideren oportunos, ya sea de forma peridica o
cuando por razones especficas de seguridad o del servicio resulte conveniente,
con el fin de velar por el correcto uso de los mencionados recursos.

El simple uso de los servicios de Red implica el consentimiento a este monitoreo

por cuestiones operativas o de seguridad, debiendo los empleados tener en
cuenta que la mayora de las sesiones no son privadas.
La informacin personal del Usuario a la que se tenga acceso como consecuencia
de las actividades de control, mejor funcionamiento o seguridad, no podr ser
difundida pblicamente excepto que se trate de un uso no autorizado, indebido o
prohibido y a los estrictos fines de iniciar la pertinente denuncia administrativa y/o
judicial.
7. SANCIONES
El incumplimiento o violacin de estas "Polticas de Seguridad de los Recursos
Informticos", constituirn elementos de juicio para graduar las sanciones
estipuladas en el Reglamento Interno de la consultora, as como las civiles y
penales dispuesta por ley, y siempre que se considere pertinente.
8. TRMINOS y DEFINICIONES
Seguridad de la Informacin que se entiende como la preservacin de:
Confidencialidad: se garantiza que la informacin sea accesible slo a aquellas
personas autorizadas a tener acceso a la misma.
Integridad: se salvaguarda la exactitud y totalidad de la informacin y los
mtodos de procesamiento.
Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la
informacin y a los recursos relacionados con la misma, toda vez que lo requieran.
Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o
disposiciones a las que est sujeto el Organismo.

Confiabilidad de la Informacin: es decir, que la informacin generada sea

adecuada para sustentar la toma de decisiones y la ejecucin de las misiones y
funciones.
Informacin: Se refiere a toda comunicacin o representacin de conocimiento
como datos, en cualquier forma, con inclusin de formas textuales, numricas,
grficas, cartogrficas, narrativas o audiovisuales, y en cualquier medio, ya sea
magntico, en papel, en pantallas de computadoras, audiovisual u otro.
Sistema de Informacin: Se refiere a un conjunto independiente de recursos de
informacin organizados para la recopilacin, procesamiento, mantenimiento,
transmisin y difusin de informacin segn determinados procedimientos, tanto
automatizados como manuales.
Tecnologa: Se refiere al hardware y software operados por el Organismo o por un
tercero que procese informacin en su nombre, para llevar a cabo una funcin
propia del Organismo, sin tener en cuenta la tecnologa utilizada, ya se trate de
computacin de datos, telecomunicaciones u otro tipo.
Activos:
Recursos de informacin: bases de datos y archivos, documentacin de
sistemas, manuales de usuario, material de capacitacin, procedimientos
operativos o de soporte, planes de continuidad, informacin archivada, etc.
Recursos de software: software de aplicaciones, sistemas operativos,
herramientas de desarrollo, utilitarios, etc.

Activos

fsicos:

equipamiento

informtico

(procesadores,

monitores,

computadoras porttiles, mdems), equipos de comunicaciones (routers, PABXs,

mquinas de fax, contestadores automticos), medios magnticos (cintas, discos),
otros equipos tcnicos (relacionados con el suministro elctrico, unidades de aire
acondicionado), mobiliario, lugares de emplazamiento, etc.

 Servicios: servicios informticos y de comunicaciones, utilitarios generales

(calefaccin, iluminacin, energa elctrica, etc.).
Usuario: Todas aquellas personas que utilicen sistemas software, equipos
informticos y los servicios de Red provistos por la consultora.

9. FUENTES de INFORMACIN
"Modelo de Poltica de Seguridad de la Informacin para Organismos del Sector
Pblico Nacional" (Versin 1, Julio-2005), aprobada por la Oficina Nacional de
Tecnologas de Informacin (ONTI) de La Subsecretara de Gestin Pblica de la
Jefatura de Gabinetes de Ministros.
"Rgimen sobre el Uso Responsable de Elementos Informticos", en el mbito del
Poder Ejecutivo de la Provincia de Buenos Aires. Aprobado por Decreto N 2442,
el 12 de Oct. 2.005. (Publicacin B.O., 9 Nov. 2.005).
Normas y recomendaciones de la Coordinacin de Emergencias en redes
Teleinformticas de la Administracin Pblica Argentina (ArCERT)
"Poltica Institucional y Procedimiento para el Uso tico Legal de las Tecnologas
de Informacin de la Universidad de Puerto Rico" (Universidad de Puerto Rico en
Bayamn - 1999/2000).