Politicas de Seguridad Huem

CODIGO DEL
POLITICAS DE SEGURIDAD INFORMATICA

FORMATO
VERSIÓN DEL FECHA ULTIMA ACTUALIZACION:

ELABORO VERIFICÓ APROBÓ
FORMATO: 01 11 DE MAYO DE 2010
Profesional Universitario
Ingeniero de Sistemas
de Sistemas Asesor de Planeación
El presente manual de Políticas de Seguridad Informática es un marco de

referencia para los funcionarios en cuanto uso de los equipos de cómputo y los
servicios institucionales de correo electrónico e internet, el manejo, instalación
y desinstalación de hardware y software y la conservación y cuidado de la
información afectada al funcionamiento de la ESE Hospital Universitario
Erasmo Meoz.
Este documento deberá ser entregado a cada funcionario o contratista y estos

deberán leer, asimilar y aplicar el presente manual de normas, declarar que lo
conoce y dejar constancia escrita de este hecho y del compromiso de aplicar
estas normas. Este manual es de estricto cumplimiento y su desviación o
incumplimiento por parte del funcionario que no se ciña a lo descrito, es
considerado por la empresa como falta disciplinaria.
En virtud de la imposibilidad de enumerar toda prohibición existente se deja

aquí constancia de que todo aquello que no se encuentra expresamente
permitido se encuentra prohibido. Todas las disposiciones incluidas en este
documento son aplicables por igual a las instalaciones y usos de los recursos
informáticos de la Institución.
OBJETIVO
Establecer las Normas, Políticas y Estándares, inherentes a la seguridad

informática en la ESE Hospital Universitario Erasmo Meoz, a tener en cuenta
para su cumplimiento por parte de los funcionarios de la Institución, como parte
del Reglamento Interno de Trabajo. Como también minimizar el riesgo de daño
de los recursos informáticos, encaminados a enriquecer los procesos de
mejoramiento continúo de los sistemas de control en la Institución.
Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las

normas y mecanismos que deben cumplir y utilizar para proteger los
componentes de los sistemas y equipos de computo de la institución.
ALCANCE
El Manual de Políticas de Seguridad Informática de la ESE Hospital

Universitario Erasmo Meoz rige a partir de la fecha y a nivel nacional donde la
Institución tenga presencia (sedes u oficinas).
CODIGO DEL
FORMATO

GLOSARIO
Bienes y recursos de cómputo: Para todos los efectos de esta Resolución, se

consideran bienes y recursos de cómputo todos los elementos de hardware y
software entregados por la Institución funcionario con el fin de facilitarle el
desempeño de sus funciones. De esta manera, son bienes y recursos de
cómputo, además de los programas, los computadores o equipos de cómputo -,
junto con sus periféricos (Mouse, teclado, monitor, parlantes, unidades
externas de almacenamiento, micrófono), impresoras de uso individual o
colectivo, scanner, etc.
Buscador en Internet: Son sitios Web, especializados en localizar información

por criterios o por contenidos a través de Internet. Entre los más utilizados y
conocidos se encuentran Yahoo® y Google®.
Buzón de correo electrónico: Depósito en el que se almacenan los mensajes

transmitidos por correo electrónico que recibe un usuario, hasta que los
descarga a su computador.
CHAT (Charla - Conversational Hypertext Access Technology): Comunicación

simultánea en línea, que permite a dos o más usuarios interactuar a través de
Internet mediante el teclado, la voz y el video. Requiere la coincidencia
temporal de los dos o más interlocutores.
Contraseña o password: Es una clave secreta de acceso a un computador, a

una cuenta de correo electrónico o a una cuenta de conexión a Internet, o a un
Sistema de Información, que en aras de maximizar los niveles de seguridad,
control y privacidad, sólo debe conocer el usuario. Si se introduce una
contraseña incorrecta, no se permitirá la entrada al sistema.
Correo electrónico o e-mail: Es un servicio mediante el cual un computador

permite a los usuarios enviar y recibir mensajes e intercambiar información con
otros usuarios (o grupos de usuarios), todo, a través de la red. De igual
manera, permite el envío de archivos adjuntos; el correo electrónico es uno de
los usos más populares de Internet.
Correo Electrónico Institucional: Es el servicio de correo electrónico que

provee y administra directamente la Institución a sus funcionarios, como
herramienta de apoyo a las funciones y responsabilidades de los mismos.
Dirección de correo electrónico o e-mail address: Conjunto de caracteres

utilizado para identificar a un usuario de correo electrónico y que permiten la
recepción y envío de mensajes. Generalmente está compuesta por el nombre
del usuario, el signo @ como divisor entre el usuario y el nombre del proveedor
del servicio en el cual se aloja la cuenta de correo.
CODIGO DEL
FORMATO

Equipo de Cómputo: Es una máquina electrónica dotada de una memoria de

gran capacidad y de métodos de tratamiento de la información, que permiten
resolver problemas aritméticos y lógicos, gracias a la utilización de programas
instalados en ella. Para efectos de esta Resolución se emplea el término como
sinónimo de computador.
Corriente regulada: Es aquella que proviene de una fuente o unidad de poder

in- interrumpida, que garantiza su estabilidad y permanencia, evitando
sobrevoltaje que pueda dañar los equipos.
Corriente no regulada: Es aquella proporcionada directamente por la

Institución proveedora del servicio de energía.
Hardware: Conjunto de componentes físicos (cables, placas, conexiones,

partes) que constituyen un computador y sus equipos periféricos.
Internet (International Net): Nombre de la mayor red informática del mundo.

Red de telecomunicaciones nacida en 1969 en los Estados Unidos a la cual
están conectadas centenares de millones de personas, organismos e
instituciones, en su mayoría ubicadas en los países más desarrollados, y cuyo
rápido desarrollo está teniendo importantes efectos sociales, económicos y
culturales, convirtiéndose de esta manera en uno de los medios más
influyentes de la llamada Sociedad de la Información, siendo conocido en
algunos ámbitos con el nombre de la Autopista de la Información. Fue conocida
como ARPANET hasta 1974.
Intranet: Se llaman así a las redes tipo Internet pero que son de uso interno.
Mensaje de correo electrónico o e-mail message: Conjunto de elementos

que componen un envío de correo electrónico. Además de los elementos
visibles al usuario (campos: de, para, asunto, cc, cuerpo del mensaje, firma,
archivos anexos, etc.), un mensaje de correo electrónico contiene también
elementos ocultos, que son necesarios para su correcta transmisión al
destinatario, a través de la red.
Red: Conjunto de computadores o de equipos informáticos conectados entre sí

de tal manera que pueden intercambiar información.
Spam: Mensajes que sin ser solicitados llegan al buzón de correo,

provenientes de direcciones desconocidas en la mayoría de los casos, muy
frecuentemente encaminados a ofrecer productos y servicios. También son
conocidos como "correo basura".
Software, programas o aplicativos: Es un conjunto de instrucciones

detalladas que controlan la operación de un sistema computacional. En
general, designa los diversos tipos de programas, instrucciones y reglas
CODIGO DEL
FORMATO

informáticas para ejecutar distintas tareas en un computador. Dentro de sus

funciones están el administrar los recursos de cómputo, proporcionar las
herramientas para optimizar estos recursos y actuar como intermediario entre
el usuario y la información almacenada.
Software del sistema: Es un conjunto de programas que administran y

controlan los recursos del computador, como son la unidad central de proceso,
los dispositivos de comunicaciones y los dispositivos periféricos.
Software de aplicaciones: Programas que son escritos para o por los usuarios
para realizar una tarea específica en el computador; tales como el
procesamiento de textos, la generación de hojas de cálculo, el diseño de
gráficos, la resolución de problemas matemáticos, la administración de bases
de datos y la elaboración de presentaciones, entre otras. El software de
aplicación debe estar sobre el software del sistema para poder operar.
Software de usuario final: Es el software que permite el desarrollo de algunas

aplicaciones directamente por los usuarios finales. Con frecuencia, tiene que
trabajar a través del software de aplicación y finalmente con el software del
sistema.
Software licenciado: Programas o aplicativos que han sido registrados y

patentados, sobre los que existen derechos de autor y normas acerca de su
uso, distribución, elaboración de copias, etc. Como consecuencia, para su
utilización es necesario cumplir las restricciones establecidas por la ley.
Software no licenciado: Es aquel que no ha sido patentado o registrado.
Software libre: Es aquel que no tiene ningún tipo de restricciones de uso,

distribución, modificación o elaboración de copias.
Software pirata: Es una copia ilegal de aplicativos o programas que son

utilizados sin tener la licencia exigida por la ley.
Unidad de almacenamiento fija: Dispositivo(s) no removible(s) que permite(n)

registrar y guardar información en un equipo de cómputo. Generalmente
conocida como disco duro, que graba en forma digital, lo que permite
almacenar una gran cantidad de información, programas y datos.
Unidad de almacenamiento portátil (Diskette, CD, DVD, Memoria USB):

Dispositivo(s) removible(s) que permite(n) registrar y guardar información,
programas y datos para ser utilizados en un computador. Entre los más usados
y conocidos están el CD, el DVD y la Memoria USB
CODIGO DEL
FORMATO

 CD. (Compact Disc): Disco óptico en el cual se graba información en

forma digital. Permite acumular una gran cantidad de datos
(aproximadamente 650 Mb) que se leen mediante rayos láser.
 CD-RW: Es un Compact Disc en el que se puede grabar información y

también borrar o modificar la ya existente (Recordable-Writable).
 DVD: Disco digital mejorado, con una capacidad muy superior al CD.
(Digital Video Disc o Digital Versatile Disc). Al igual que en los CD, hay
distintas variantes según si sólo puede leer, leer y escribir, etc.: DVD-
ROM, DVD-RAM, etc. La capacidad de un DVD va desde los 4,7 Gb
(una cara, una capa) hasta los 17 Gb (doble cara, doble capa).
 Memoria USB (Universal Serial Bus): Dispositivo de almacenamiento

portátil, de gran capacidad, que se coloca en un computador mediante
un conector de tipo USB.
 Unidad de disco: En general, se aplica a cualquier unidad de

almacenamiento de información fija o no extraíble.
Virus: Software o programa cuyo objetivo es causar daños en un sistema

informático. Con tal fin se oculta o se disfraza para no ser detectado. Estos
programas son de diferentes tipos y pueden causar problemas de diversa
gravedad en los sistemas a los que afectan, desde borrar un tipo de archivos,
hasta borrar toda la información contenida en el disco duro. Hoy en día se
propagan fundamentalmente mediante el uso del correo electrónico y de
medios de almacenamiento de información portátiles infectados como
disquettes, CD's, DVD's, y Memorias USB. Se combaten con la instalación de
antivirus que deben ser actualizados periódicamente.
Virus hoax: Los hoaxes son mensajes engañosos que se distribuyen en

cadena y quienes los originan buscan recopilar direcciones de correo
electrónico. De igual manera son falsas alarmas sobre la existencia de virus.
CODIGO DEL
FORMATO

Los bienes y recursos de cómputo de la ESE HUEM, son herramientas de

apoyo a las labores y a las responsabilidades de los funcionarios y se
encuentran afectados a la función pública; por ello, sin perjuicio de la
responsabilidad penal, administrativa o disciplinaria a que haya lugar, los
servidores de la Institución, al utilizar los equipos de cómputo deben observar y
cumplir las siguientes directrices de uso:
1. DEL EQUIPO
1.1 DEL USO, INSTALACION Y DESINSTALACION DEL HARDWARE Y

SOFTWARE
1. Todos los equipos de computo que estén conectados o no a la Red

estructurada de la ESE Hospital Universitario Meoz, pero se encuentren
dentro de las instalaciones de la entidad, deben ser instalados según las
normas y procedimientos de instalación que emite el departamento de
sistemas y este trabajo deberá ser realizado por personal del área de
soporte técnico del mismo.
2. El equipo de la institución que sea de propósito específico y tenga una

misión crítica asignada, requiere estar ubicado en un área que cumpla
con los requerimientos de: seguridad física, las condiciones ambientales,
y la alimentación eléctrica.
3. El área de sistemas, es la única que coordinara las actividades de

mantenimiento de hardware e instalación del software que deba tener
cada equipo de cómputo de acuerdo al perfil definido y las funciones de
los usuarios.
4. No está permitida la instalación de elementos de hardware y/o software

por parte de los empleados directos o indirectos de la Institución.
5. La protección física y custodia de los equipos corresponde al usuario a

quien se le asigna, quien deberá informar de inmediato a su jefe
inmediato y éste al personal del área de soporte técnico, cualquier
anomalía que detecte en cuanto al mal estado y/o mal uso de los
recursos informáticos.
6. Solamente está permitido el uso de software licenciado por la Institución

y/o aquel que sin requerir licencia sea expresamente autorizado por el
área de de Sistemas.
CODIGO DEL
FORMATO

7. Los únicos autorizados para instalar o desinstalar software en los

equipos de cómputo son los funcionarios del área de de Sistemas y/o las
personas por ellos autorizadas.
8. Está prohibido instalar, ejecutar y/o utilizar programas o herramientas de

software o hardware que:
a) Adivinen las contraseñas alojadas en las tablas de usuarios de
equipos locales remotos b) Monitoreen la actividad de los sistemas
informáticos de equipos locales o remotos. Se excluye de esta
prohibición las herramientas de software y hardware que utilice El área
de de Sistemas con el único propósito de administrar la funcionalidad y
la seguridad de los recursos informáticos institucionales. c) Rastreen
vulnerabilidades en sistemas de cómputo (hardware o software). Se
excluye de esta prohibición las herramientas que utilice El área de de
Sistemas con el único propósito de evaluar la seguridad de los recursos
informáticos institucionales. d) Exploten alguna vulnerabilidad de un
sistema informático para acceder así a privilegios que no han sido
explícitamente otorgados por el administrador de la red o de un recurso
informático en particular. e) Tengan un carácter de juegos y/o
pornográficos. f) Permitan el intercambio de información entre equipos,
tales como Kazaa® Emule®, Morpheus®, Guntella®, etc. g) Violen los
derechos de autor.
9. El software y hardware instalado en los equipos de cómputo de la ESE

HUEM no debe ser utilizado con propósitos ilegales, no autorizados,
personales o ajenos a la misión de la Institución.
10. No está permitida la utilización de cualquier recurso informático para

guardar o transportar material ilegal, pornográfico, que haga apología del
crimen o violencia, ofensivo, lesivo al buen nombre y honor de otros,
propagandas comerciales, cadenas, música mp3, wav, mp4, etc,
difusión de actividades lucrativas en general.
11. No está permitida la utilización de software comercial ilegalmente

copiado, ya sea texto, imágenes gráficas, o grabaciones de audio o
video.
12. No está permitido bajar música de internet de ningún formato, ni su

reproducción dentro de los equipos de cómputo de la Institución, cuando
se detecte que un funcionario violando esta política será sancionado
disciplinariamente.
13. No está permitido el guardar música o vídeos en los equipos de la

institución, de detectarse será eliminada inmediatamente del equipo y
será sancionado disciplinariamente.
CODIGO DEL
FORMATO

14. No está permitido el uso de módem externos en los equipos

institucionales o que se encuentren conectados a la red del hospital
diferentes a los autorizados expresamente y por escrito por la oficina de
sistemas, para cuya autorización debe mediar la solicitud realizada por
el jefe de área justificando su uso y necesidad.
1.2 DEL MANTENIMIENTO DEL EQUIPO DE CÓMPUTO
1. Al área de Soporte Técnico le corresponde efectuar el mantenimiento

preventivo y correctivo de los equipos de cómputo, previamente definido
por la Profesional Universitario del área de sistemas, quien establecerá
el cronograma para la realización de dicha actividad y lo socializará con
las áreas involucradas que reciban el servicio.
2. Cualquier cambio de parte o actualización de hardware o software de los

equipos de cómputo, deberá registrarse en el formato GIC-FO-SI-
002_Hoja de vida de equipos, el técnico del área de soporte que lo
realice deberá incluir en el reporte: la fecha, la hora, el diagnóstico, si fue
un cambio o no de partes, una breve descripción y su firma. El usuario
que recibe el servicio a su vez deberá firmar que recibió a satisfacción.
3. Los funcionarios no deben asumir personalmente la solución de los

problemas mecánicos, eléctricos o electrónicos de los equipos de
cómputo, impresoras o cualquier periférico. Esta actividad debe ser
realizada exclusivamente por un funcionario del área de soporte técnico
de sistemas o por personal autorizado para tal fin.
4. Los únicos autorizados para realizar modificaciones a la configuración

original de los equipos, así como para destapar, agregar, desconectar,
retirar, revisar y/o reparar sus componentes, son los funcionarios del
área de sistemas y/o las personas por ellos autorizadas.
5. Los funcionarios no deben realizar la limpieza exterior de los equipos a

su cargo con trapos sucios ni mojados. Siempre deberán usar una lanilla
para retirar el polvo, que se encuentre limpia y seca.
6. De acuerdo a la necesidad del mantenimiento, el funcionario

responsable del equipo de cómputo puede realizar la solicitud de
mantenimiento extra al programado a la sección de sistemas.
1.3 DE LA ACTUALIZACIÓN DEL EQUIPO

CODIGO DEL
FORMATO

1. Se cambiaran o se actualizarán los equipos cuyo funcionamiento no dé

el rendimiento y desempeño esperado para las operaciones requeridas
por la institución.
1.4 DE LA REUBICACION DEL EQUIPO DE COMPUTO
1. Los funcionarios no deben trasladar equipos de cómputo excepto

portátiles que les hayan sido asignados previamente.
2. Con el fin de llevar el control individual de inventarios, la única

dependencia autorizada para trasladar los equipos de cómputo de un
puesto a otro es el área de sistemas. En tal virtud, toda reasignación de
equipos deberá ajustarse a los procedimientos y competencias de dicha
dependencia.
2. DEL CONTROL DE ACCESO
2.1 DEL ACCESO A AREAS CRITICAS
1. Solo se concederá acceso a las instalaciones críticas como la central

de cableado y /o área de servidores al personal del área de Soporte
Técnico, al personal interno de Sistemas y a aquellos que previa
autorización del Profesional Universitario de Sistemas tengan que
realizar actividades en estas áreas, el acceso de personal ajeno a este
sin previa autorización escrita será sancionado.
2. Bajo condiciones de emergencia o de situaciones de urgencia

manifiesta, el acceso a las áreas de servicio crítico estará sujeto a las
que especifiquen las autoridades superiores de la institución.
3. Está prohibido el acceso a recursos informáticos a personal externo de

la Institución, sin la debida autorización por escrito del área de
sistemas.
2.2 DEL CONTROL DE ACCESO AL EQUIPO DE COMPUTO
1. Todos y cada uno de los equipos son asignados al coordinador de área,

mediante acta que relaciona el activo fijo con su respectiva placa, es por
esto que es de su completa responsabilidad hacer buen uso de los
recursos y velar porque los usuarios a su cargo hagan buen uso de los
mismos.
CODIGO DEL
FORMATO

2. En lo posible, los coordinadores de áreas deberán velar por la custodia y

protección de equipos de cómputo cuya misión es crítica y que son de
fácil acceso.
3. El personal de turno es absolutamente responsable de todas las

actividades que se puedan realizar desde y en el equipo asignado para
ejecutar sus funciones.
2.3 DEL USO DE CONTRASEÑAS PARA ACCEDER A LOS SISTEMAS

DE INFORMACION O APLICATIVOS
1. Cualquier novedad de ingreso, traslado o retiro del personal que por

razón de su trabajo tenga acceso a los sistemas de información debe
realizarse a través del formato GIC-FO-SI-001_Formato Reporte de
Novedades Usuarios DGH - AUDIHUEM, definiendo específicamente las
nuevas solicitudes.
2. La asignación de contraseñas o passwords de acceso a los sistemas de

información como por ejemplo DGH, AUDIHUEM, HEXALIS, correo
electrónico, entre otros, es personal, de carácter confidencial y, por lo
tanto, no debe ser revelada a otros funcionarios ni "prestada" a terceras
personas.
3. Cada usuario es responsable por el uso que se haga de sus contraseñas

o passwords de acceso a los sistemas de información y debe
responsabilizarse de las operaciones que se hagan con esta clave.
4. Todos los usuarios deberán cambiar periódicamente su contraseña o

password o en su defecto solicitar su cambio al Administrador del
Sistema.
5. Ningún funcionario debe intentar violar los sistemas de seguridad

informática establecidos en la Institución, ni ingresar con contraseñas
asignadas a otros funcionaros. Estos eventos son causales de llamada
de atención con copia a la hoja de vida, la sanción debe ser evaluada
conjuntamente por Control Interno disciplinario y por la Administración
de acuerdo a la gravedad de la falta., para lo cual se aplicara las
sanciones establecidas en el Reglamento Interno de Trabajo.
6. Las contraseñas deben ser definida en forma que no sea fácilmente

deducible, se debe evitar el uso de nombres personales, números de
cédula, placas de carro, fechas de cumpleaños y otras palabras que se
relacionen con hechos y datos de fácil deducción u obtención.
CODIGO DEL
FORMATO

2.4 DE CONTROL DE ACCESO LOCAL A LA RED
1. El acceso lógico a equipo especializado de cómputo (servidores,

enrutadores, bases de datos, equipo de súper cómputo centralizado y
distribuido, etc.) conectado a la red es administrado por el área de
Soporte técnico y según las características y perfiles de acceso.
2. Si un funcionario utiliza un equipo ajeno o comparte carpetas y archivos

a través de la red, debe respetar su contenido, es decir no borrar, alterar
o modificar la información allí contenida. En caso de evidenciarse lo
contrario, sin que haya habido autorización alguna al respecto, el
funcionario estará sujeto a las sanciones pertinentes.
3. El área de Sistemas definió perfiles de acceso por grupos, los cuales

permiten o deniegan el acceso a algunos recursos de red, esto con el fin
de salvaguardar y proteger información clasificada y vulnerable a fraudes
o robo de la misma.
4. Cada equipo tiene asignada una dirección única que lo identifica en la

red, esta dirección no debe ser cambiada por el usuario; solo el personal
de sistemas es el autorizado para realizar estos cambios, de lo contrario
será sancionado el responsable del equipo por realizar estos cambios.
5. Los usuarios de los equipos son los directos responsables por la

información que compartan a través de la red, y cualquier cambio o
acceso que den a su información deberá ser con su autorización y bajo
su propio riesgo.
6. Todo ingreso a la Institución de equipos de cómputo no institucionales o

partes computacionales deberá ser autorizado por el almacén y el jefe
de la respectiva dependencia de destino. El área de Sistemas debe ser
informada y solicitada para la ejecución de los debidos procedimientos
de seguridad informática y la autorización de conexión a la red de datos
institucional.
2.5 DE ACCESO AL CORREO ELECTRONICO INSTITUCIONAL
1. No se debe sin estar autorizado, descubrir los secretos o vulnerar la

intimidad de otro apoderándose de sus mensajes de correo electrónico o
cualquier otro documento; como tampoco por cualquier medio destruir,
alterar, inutilizar o dañar los datos, ficheros, programas, documentos
electrónicos ajenos contenidos en redes, soportes o sistemas
informáticos.
CODIGO DEL
FORMATO

2. Toda tarea de utilización de técnicas y/o herramientas de hacking desde

y hacia la Institución son consideradas como faltas graves y se tomarán
las medidas consecuentes con cada caso.
3. Crear, utilizar o distribuir los programas que puedan dañar los datos,
archivos, aplicaciones, funcionamientos del sistema, o funcionamientos
de la red como ser virus, troyanos, key loggers etc. está completamente
prohibido. En caso de detectar alguna infección por un virus informático
en el computador a cargo del funcionario, éste deberá informar de
inmediato al área de Soporte Técnico, para evitar y controlar su posible
expansión.
4. El servicio de Correo Electrónico debe ser empleado únicamente para

enviar y recibir mensajes de orden institucional. En consecuencia, no
puede ser utilizado con fines personales, económicos, comerciales y/o
cualquier otro ajeno a los propósitos de la Institución.
5. El contenido de los mensajes debe corresponder con la Carta de Valores

de la ESE HUEM y por lo tanto no puede ser insultante, ofensivo,
amenazante, injurioso u obsceno.
6. Al redactar mensajes se deben respetar los derechos de terceros, evitar

caer en el sarcasmo o la ironía y nunca comprometer la imagen de la
Institución.
7. El envío de mensajes debe hacerse únicamente a los destinatarios que

forzosamente estén llamados a recibirlos.
8. No se debe enviar mensajes a todos los funcionarios, salvo que sea un

asunto oficial, que involucre a toda la Institución y cuente con la
autorización de la Gerencia, Subgerencias, líderes de sección, oficinas
asesoras y/o el área de Sistemas.
9. Las bandejas del buzón del Correo Electrónico Institucional deben ser
revisadas periódicamente y los mensajes contenidos en ellas borrados a
más tardar al quinto día de su recepción, toda vez que las carpetas
están concebidas para recibir información y no para almacenarla. En
consecuencia, todo archivo importante recibido en el buzón debe ser
guardado en el disco duro del computador, en una carpeta creada con
ese fin.
10. Todo mensaje sospechoso respecto de su remitente o contenido debe

ser ignorado y eliminado sin abrirlo, ya que puede ser contentivo de
virus, en especial si contiene archivos adjuntos (attach) con extensiones
.exe, .bat, .prg, .bak, .pif, tengan explícitas referencias eróticas o
alusiones a personajes famosos.
CODIGO DEL
FORMATO

11. Todo mensaje SPAM o HOAX debe ser borrado, eliminado, calificado
como correo no deseado y nunca respondido.
12. La Cuenta de Correo Institucional no debe ser revelada a páginas o

sitios publicitarios, de compras, deportivos, agencias matrimoniales,
casinos, páginas de pornografía o a cualquier otra ajena a los fines de la
ESE HUEM.
13. El reenvío de mensajes sólo debe realizarse en casos estrictamente

necesarios.
14. En las carpetas públicas únicamente se pueden compartir archivos no

reservados y de interés para los fines de la Institución.
15. Sólo deben imprimirse los mensajes importantes que así lo requieran, ya
que una de las ventajas y fines del servicio de Correo Electrónico
Institucional es la transmisión de información con ahorro de papel.
16. Todos los archivos enviados o recibidos deben ser vacunados

previamente con el antivirus licenciado por la ESE HUEM.
17. La cuenta de correo no debe utilizarse para enviar o recibir música,

programas, material pornográfico, fotos, videos o cualquier otro ajeno a
los fines de la Institución.
18. No está permitido el envío y/o reenvío de mensajes en cadena.
19. Es responsabilidad de los funcionarios, mantener actualizada su lista

de contactos Institucional.
3. DEL USO DE LOS EQUIPOS DE CÓMPUTO Y LA CONSERVACIÓN Y

CUIDADO DE LOS MISMOS
1. Los bienes y recursos de cómputo institucionales se emplearán de

manera exclusiva por el funcionario al cual han sido asignados y
únicamente para el correcto desempeño de su empleo, cargo o función;
por lo tanto, no pueden ser utilizados con fines personales o por terceros
no autorizados.
2. Ningún equipo de cómputo puede ser expuesto a factores externos que

comprometan su integridad, tales como humedad, humo y polución.
3. Durante la jornada laboral y en todo tiempo de uso, corresponde al

funcionario prestar la debida custodia y cuidado a los equipos de
CODIGO DEL
FORMATO

cómputo asignados, así como impedir su sustracción, destrucción,

ocultamiento o utilización indebida.
4. Cada usuario debe apagar los equipos a su cargo al finalizar la jornada

diaria de trabajo, en ausencias prolongadas y/o por solicitud expresa del
área de sistemas, a la hora del almuerzo solo se deberá apagar el
monitor.
5. Cuando el Administrador del Sistema se identifique y solicite a los

usuarios que se salgan del sistema, estos deben atender la solicitud con
la mayor brevedad. Esto solo se exigirá en casos de extrema urgencia o
riesgo.
6. Al retirarse del puesto de trabajo, es responsabilidad de cada funcionario

dejar el equipo de cómputo bloqueado y el escritorio despejado de
documentación sensible que maneje de la institución.
7. Es responsabilidad de la jefatura de cada área, identificar, autorizar y

solicitar al área de infraestructura tecnológica, la inhabilitación de los
puertos USB disponibles en los equipo de computo del área, y dejar este
recurso disponible solo a los funcionarios que se considere necesario.
5. Sobre los equipos de cómputo no deben ubicarse elementos pesados,

radios de comunicación o teléfonos celulares.
6. No se deben colocar elementos tales como plantas, alimentos o líquidos

sobre los equipos de cómputo, ni bloquear sus rejillas de ventilación con
papeles u otros objetos.
7. Es responsabilidad del usuario del equipo cualquier daño que se derive

por el consumo de alimentos dentro del área de trabajo y cerca de los
equipos de computo y/o por del derrame de líquidos sobre los mismos.
8. No está permitido fumar o beber cerca de los equipos de cómputo y/o

sus dispositivos electrónicos. Los daños que se presenten en los
equipos por mala operación son imputables al usuario.
9. Si un equipo de cómputo se apaga de manera súbita, el usuario deberá

apagar el monitor e impresora a su cargo inmediatamente, e informar al
área de sistemas y esperar instrucciones sobre el restablecimiento al
estado normal antes de volver a encenderlo.
10. Todos los aplicativos o programas del computador se deben cerrar si el

funcionario no está utilizando el equipo o no está presente en su puesto
de trabajo.
CODIGO DEL
FORMATO

11. Para evitar el bloqueo o la lentitud del equipo, es recomendable no abrir

de manera simultánea varias ventanas de un mismo programa, o
mantenerlas innecesariamente abiertas.
12. No está permitido introducir en los equipos de cómputo elementos

ajenos a su naturaleza o funcionalidad, así como ningún tipo de unidad
de almacenamiento de información portátil como diskettes, CD's, DVD'S
o Memorias USB que estén físicamente dañadas o que no hayan sido
revisadas, previamente, por el programa antivirus licenciado por la
Entidad.
13. Toda pérdida de equipos de cómputo o de alguno de sus componentes,

debe ser informada de inmediato al almacén y al área de sistemas.
14. El funcionario al momento de su retiro, debe entregar al Jefe del área

debidamente inventariado a través del formato correspondiente, todos
los elementos asignados para el ejercicio de sus funciones, incluyendo
los equipos de cómputo que utilizó y las licencias.
15. Una vez finalizada la Jornada Laboral, los funcionarios a su retiro de las
instalaciones de la empresa, deberán permitir la revisión por parte de los
guardas de paquetes y bolsos, a fin de verificar la tenencia de medios
magnéticos o compactos. Lo anterior con motivo de evitar la salida de
información referente a las operaciones de la empresa.
4. DE LA INFORMACIÓN CONTENIDA EN LOS EQUIPOS DE CÓMPUTO
4.1 DE LA CONFIDENCIALIDAD DE LA INFORMACIÓN
1. Los funcionarios o contratistas mantendrán en reserva la documentación

e información que por razón de su empleo, cargo o función, conserven
bajo su cuidado o a la cual tengan acceso; evitarán su sustracción,
destrucción, ocultamiento o utilización indebida; se abstendrán de
alterarla, falsificarla, ocultarla o borrarla, e impedirán que terceros no
autorizados ejecuten tales acciones sobre la misma.
2. Los funcionarios que por razones de su cargo procesen, transporten,

reciban o manejen información sistematizada (Cintas, discos
magnéticos, disquetes, listados, etc.) son responsables de su manejo,
custodia, destrucción y de asegurarse que éstos no pasen a manos de
terceros.
4.2 DEL ALMACENAMIENTO Y LA MODIFICACION DE INFORMACION

CODIGO DEL
FORMATO

1. Todo funcionario o contratista autorizado es responsable de los registros

y/o modificaciones de información que se hagan a nombre de su cuenta
de usuario, toda vez que la clave de acceso es de carácter personal e
intransferible.
2. En el disco duro del computador únicamente puede almacenarse

información de orden Institucional vigente y/o necesaria para el correcto
desempeño del empleo, cargo o función del funcionario respectivo.
3. En ausencia prolongada del funcionario usuario del equipo y en la hora

de almuerzo, debe bloquearse el computador; de lo contrario se expone
la información a acceso de terceros, daño, alteración o uso indebido, así
como a la suplantación del usuario original.
4.3 DE COPIAS DE SEGURIDAD DE LA INFORMACIÓN
1. Los usuarios deberán acatar lo que cada jefatura de área establezca a

través de políticas de resguardo de la información de su sector,
ejecutando los mecanismos y tiempos para la realización de copias de
seguridad correspondientes, dando cumplimiento a este procedimiento.
2. Los funcionarios deberán informar al área de sistemas los archivos

importantes que requieren que sean conservados en la copia de
seguridad, así como la ruta de ubicación dentro del disco duro del
computador.
3. Los funcionarios deberán mantener encendido el equipo de computo el

día que este se encuentre programado para realizar copia de seguridad,
este horario será previamente establecido por el área de sistemas y
notificado al usuario mediante una copia del acta.
4. El área de Sistemas es la única dependencia autorizada para realizar

copia de seguridad del software licenciado por la Institución, el cual no
debe ser copiado o suministrado a terceros.
5. DEL USO DE INTERNET
1. El servicio de Internet Institucional únicamente puede ser utilizado para el

desarrollo de actividades directamente relacionadas con el cumplimiento
de la misión de la ESE HUEM y las funciones de sus servidores.
2. La conexión a Internet no debe realizarse directamente desde la línea

telefónica, salvo expresa autorización del área de de Sistemas.
CODIGO DEL
FORMATO

3. Este servicio no debe ser utilizado para:

a) Enviar o recibir archivos de video, audio, texto, fotos, etc., con
contenidos insultantes, ofensivos, injuriosos, obscenos o violatorios de
los derechos de autor.
b) Enviar o bajar archivos de video, audio, texto, fotos, etc., no propios del
cumplimiento de los propósitos institucionales o de las funciones
laborales.
c) Escuchar música conectado directamente al sitio en Internet que
provee este servicio o mediante el acceso directo a un equipo de la red
local institucional.
d) Bajar, instalar o ejecutar archivos o software de procedencia
desconocida
e) Los servicios de Newsgroups, canales de Chat o de Mensajería
Instantánea (como MSN Messenger, Yahoo Messenger, Netscape o
AOL Messenger, entre otros) o de redes compartidas como kazaa,
morpheus, bearshare, etc., no deben ser utilizados para descargar
archivos.
f) No se permite el uso de Chat, ni acceder a sitios de pornografía, juegos
o apuestas.
4. La conexión a Internet siempre debe cerrarse o desconectarse cuando

no se esté navegando. El área de de Sistemas está habilitada para
limitar el acceso a determinadas páginas de Internet, los horarios de
conexión, los servicios ofrecidos por la red, la descarga de archivos y
cualquier otro ajeno a los fines institucionales.
5. Queda prohibido el uso de módems o dispositivos inalámbricos

personales para la conexión a internet dentro de la institución, cualquier
desacato a esta norma será sancionado.
6. DEL USO DEL APLICATIVO DE MENSAJERÍA INTERNA (WIN

MESSENGER)
1. Los funcionarios de la Institución podrán comunicarse con las demás

áreas a través del mensajero WinMessenger, el cual es una herramienta
administrativa que está instalada en todos los equipos de cómputo.
2. Queda prohibido el uso del mensajero para fines diferentes a la actividad

o función para la que fueron contratados los funcionarios.
3. El envío de mensajes a dominio y no a un usuario específico solo se debe

realizar cuando sea estrictamente necesario.
CODIGO DEL
FORMATO

4. El área de sistemas hará seguimiento al envío de mensajes a dominio

repetitivos y con contenido no laboral, y notificará al área de talento
humano para que se tomen las medidas disciplinarias a que haya lugar.
5. El mensajero no debe ser usado en ningún caso para enviar mensajes

personales, expresar sentimientos, emociones y cualquier actividad
distinta a la laboral.
6. El contenido de los mensajes debe corresponder con la Carta de Valores

de la ESE HUEM y por lo tanto no puede ser irrespetuoso, insultante,
ofensivo, amenazante, injurioso u obsceno, de lo contrario el responsable
del equipo tendrá sanciones disciplinarias.
7. DEL USO DEL APLICATIVO PARA MONITOREAR USUARIOS
1. Por ningún motivo, los funcionarios deberán desactivar el programa VNC

o cambiar la clave de acceso, el cual es usado por el personal del área
de sistemas, para dar soporte remoto.
2. No se prestara soporte a los usuarios que tengan desactivado el servicio

de VNC.

Politicas de Seguridad Huem

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Politicas de Seguridad Huem

Hochgeladen von

Copyright:

Verfügbare Formate

CODIGO DEL

POLITICAS DE SEGURIDAD INFORMATICA

VERSIÓN DEL FECHA ULTIMA ACTUALIZACION:

POLITICAS DE SEGURIDAD INFORMATICA

El presente manual de Políticas de Seguridad Informática es un marco de

Este documento deberá ser entregado a cada funcionario o contratista y estos

En virtud de la imposibilidad de enumerar toda prohibición existente se deja

Establecer las Normas, Políticas y Estándares, inherentes a la seguridad

Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las

El Manual de Políticas de Seguridad Informática de la ESE Hospital

VERSIÓN DEL FECHA ULTIMA ACTUALIZACION:

Bienes y recursos de cómputo: Para todos los efectos de esta Resolución, se

Buscador en Internet: Son sitios Web, especializados en localizar información

Buzón de correo electrónico: Depósito en el que se almacenan los mensajes

CHAT (Charla - Conversational Hypertext Access Technology): Comunicación

Contraseña o password: Es una clave secreta de acceso a un computador, a

Correo electrónico o e-mail: Es un servicio mediante el cual un computador

Correo Electrónico Institucional: Es el servicio de correo electrónico que

Dirección de correo electrónico o e-mail address: Conjunto de caracteres

VERSIÓN DEL FECHA ULTIMA ACTUALIZACION:

Equipo de Cómputo: Es una máquina electrónica dotada de una memoria de

Corriente regulada: Es aquella que proviene de una fuente o unidad de poder

Corriente no regulada: Es aquella proporcionada directamente por la

Hardware: Conjunto de componentes físicos (cables, placas, conexiones,

Internet (International Net): Nombre de la mayor red informática del mundo.

Mensaje de correo electrónico o e-mail message: Conjunto de elementos

Red: Conjunto de computadores o de equipos informáticos conectados entre sí

Spam: Mensajes que sin ser solicitados llegan al buzón de correo,

Software, programas o aplicativos: Es un conjunto de instrucciones

VERSIÓN DEL FECHA ULTIMA ACTUALIZACION:

informáticas para ejecutar distintas tareas en un computador. Dentro de sus

Software del sistema: Es un conjunto de programas que administran y

Software de usuario final: Es el software que permite el desarrollo de algunas

Software licenciado: Programas o aplicativos que han sido registrados y

Software no licenciado: Es aquel que no ha sido patentado o registrado.

Software libre: Es aquel que no tiene ningún tipo de restricciones de uso,

Software pirata: Es una copia ilegal de aplicativos o programas que son

Unidad de almacenamiento fija: Dispositivo(s) no removible(s) que permite(n)

Unidad de almacenamiento portátil (Diskette, CD, DVD, Memoria USB):

VERSIÓN DEL FECHA ULTIMA ACTUALIZACION:

 CD. (Compact Disc): Disco óptico en el cual se graba información en

 CD-RW: Es un Compact Disc en el que se puede grabar información y

 Memoria USB (Universal Serial Bus): Dispositivo de almacenamiento

 Unidad de disco: En general, se aplica a cualquier unidad de

Virus: Software o programa cuyo objetivo es causar daños en un sistema

Virus hoax: Los hoaxes son mensajes engañosos que se distribuyen en

VERSIÓN DEL FECHA ULTIMA ACTUALIZACION:

POLITICAS DE SEGURIDAD INFORMATICA

Los bienes y recursos de cómputo de la ESE HUEM, son herramientas de

1.1 DEL USO, INSTALACION Y DESINSTALACION DEL HARDWARE Y

1. Todos los equipos de computo que estén conectados o no a la Red

2. El equipo de la institución que sea de propósito específico y tenga una

3. El área de sistemas, es la única que coordinara las actividades de

4. No está permitida la instalación de elementos de hardware y/o software

5. La protección física y custodia de los equipos corresponde al usuario a

6. Solamente está permitido el uso de software licenciado por la Institución

VERSIÓN DEL FECHA ULTIMA ACTUALIZACION:

7. Los únicos autorizados para instalar o desinstalar software en los

8. Está prohibido instalar, ejecutar y/o utilizar programas o herramientas de

9. El software y hardware instalado en los equipos de cómputo de la ESE

10. No está permitida la utilización de cualquier recurso informático para

11. No está permitida la utilización de software comercial ilegalmente

12. No está permitido bajar música de internet de ningún formato, ni su

13. No está permitido el guardar música o vídeos en los equipos de la