Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
EN SEGURIDAD INFORMATICA
Versin: 01
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 1 de 58
OCTUBRE DE 2014
Versin: 01
Cdigo:
CP-CI
Pgina 2 de 58
INTRODUCCION
La seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones
y nuevas plataformas tecnolgicas disponibles. La posibilidad de interconectarse a
travs de redes, ha abierto nuevos horizontes a las empresas para mejorar su
productividad y poder explorar ms all de las fronteras nacionales, lo cual
lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas
de informacin.
Con la definicin de las polticas y estndares de seguridad informtica se busca
establecer en el interior de la Institucin una cultura de calidad operando en una
forma confiable.
Esta misma, es un proceso donde se deben evaluar y administrar los riesgos
apoyados en polticas y estndares que cubran las necesidades de Instituto
Municipal del Deporte y la Recreacin de Tulu en materia de seguridad.
Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y
directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y
recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso
indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes,
servicios y operaciones del Instituto Municipal del deporte y la Recreacin de tulu.
En este sentido, las polticas de seguridad informtica surgen como una herramienta
organizacional para concientizar a los colaboradores de la organizacin sobre la
importancia y sensibilidad de la informacin y servicios crticos que permiten a la
empresa crecer y mantenerse competitiva.
Ante esta situacin, el proponer o identificar una poltica de seguridad requiere un
alto compromiso con la organizacin, agudeza tcnica para establecer fallas y
debilidades, y constancia para renovar y actualizar dicha poltica en funcin del
dinmico ambiente que rodea las organizaciones modernas.
Para el desarrollo de este manual se busca estructurarlo en base a ciertos criterios
tales como:
Seguridad Institucional
Control de usuarios
Lineamientos legales
Carrera 26 Nmero 28-12 Tel: (2) 2243535
www.tulua.gov.co email: imder@tulua.gov.co
Versin: 01
Cdigo:
CP-CI
Pgina 3 de 58
OBJETIVO
ALCANCE
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 4 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 5 de 58
1.3 Beneficios
Las polticas y estndares de seguridad informtica establecidas en el presente
documento son la base fundamental para la proteccin de los activos informticos y
de toda la informacin de las Tecnologas de Informacin y Comunicaciones (TICs)
en el Instituto Municipal del Deporte y la Recreacin de Tulu.
2.- Seguridad Institucional
Poltica: Toda persona que ingresa como usuario nuevo al Instituto Municipal del
Deporte y la Recreacin de Tulu para manejar equipos de cmputo y hacer uso de
servicios informticos debe aceptar las condiciones de confidencialidad, de uso
adecuado de los bienes informticos y de la informacin, as como cumplir y respetar
al pie de la letra las directrices impartidas en el Manual de Polticas y Estndares de
Seguridad Informtica para Usuarios.
2.1 Usuarios Nuevos
Todo el personal nuevo de la Institucin, deber ser notificado en el Instituto
Municipal del Deporte y la Recreacin de Tulu, para asignarle los derechos
correspondientes (Equipo de Cmputo, Creacin de Usuario para la Red interna o en
caso de retiro del funcionario, anular y cancelar los derechos otorgados como usuario
informtico.
2.2 Obligaciones de los usuarios
Es responsabilidad de los usuarios de bienes y servicios informticos cumplir las
Polticas y Estndares de Seguridad Informtica para Usuarios del presente manual.
2.3 Capacitacin en seguridad informtica
Todo servidor o funcionario nuevo en Instituto Municipal del Deporte y la Recreacin
de Tulu deber contar con la induccin sobre las Polticas y Estndares de
Seguridad Informtica Manual de Usuarios, donde se den a conocer las obligaciones
para los usuarios y las sanciones en que pueden incurrir en caso de incumplimiento.
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 6 de 58
2.4 Sanciones
Se consideran violaciones graves el robo, dao, divulgacin de informacin
reservada o confidencial de esta dependencia, o de que se le declare culpable de un
delito informtico.
3.- Seguridad fsica y del Medio Ambiente
Poltica: Para el acceso a los sitios y reas restringidas se debe notificar al el Instituto
Municipal del Deporte y la Recreacin de Tulu para la autorizacin correspondiente,
y as proteger la informacin y los bienes informticos.
3.1 Proteccin de la informacin y de los bienes informticos
3.1.1 El usuario o funcionario debern reportar de forma inmediata el Instituto
Municipal del Deporte y la Recreacin de Tulu, cuando se detecte riesgo alguno real
o potencial sobre equipos de cmputo o de comunicaciones, tales como cadas de
agua, choques elctricos, cadas o golpes o peligro de incendio.
3.1.2 El usuario o funcionario tienen la obligacin de proteger las unidades de
almacenamiento que se encuentren bajo su responsabilidad, aun cuando no se
utilicen y contengan informacin confidencial o importante.
3.1.3 Es responsabilidad del usuario o funcionario evitar en todo momento la fuga
de informacin de la entidad que se encuentre almacenada en los equipos de
cmputo personal que tenga asignados.
3.2
Controles de acceso fsico
3.2.1 Cualquier persona que tenga acceso a las instalaciones de Instituto Municipal
del Deporte y la Recreacin de Tulu, deber registrar al momento de su entrada, el
equipo de cmputo, equipo de comunicaciones, medios de almacenamiento y
herramientas que no sean propiedad de la entidad, en el rea de recepcin o
portera, el cual podrn retirar el mismo da. En caso contrario deber tramitar la
autorizacin de salida correspondiente.
3.2.2 Las computadoras personales, las computadoras porttiles, y cualquier activo
de tecnologa de informacin, podr ser retirado de las instalaciones de Instituto
Municipal del Deporte y la Recreacin de Tulu nicamente con la autorizacin de
salida del rea de Inventarios, anexando el comunicado de autorizacin del equipo
debidamente firmado por el Director del el Instituto Municipal del Deporte y la
Recreacin de Tulu.
Carrera 26 Nmero 28-12 Tel: (2) 2243535
www.tulua.gov.co email: imder@tulua.gov.co
3.3
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 7 de 58
Los Centros de Cmputo del Instituto Municipal del Deporte y la Recreacin de Tulu
son reas restringidas, por lo que solo el personal autorizado puede acceder a l.
3.4
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 8 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 9 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 10 de 58
4.1.1 Los usuarios y funcionarios del Instituto Municipal del Deporte y la Recreacin
de Tulu que hagan uso de equipos de cmputos, deben conocer y aplicar las
medidas para la prevencin de cdigo malicioso como pueden ser virus, caballos de
Troya o gusanos de red.
4.1.2 El Instituto Municipal del Deporte y la Recreacin de Tulu, establece las
polticas y procedimientos administrativos para regular, controlar y describir el
acceso de visitantes o funcionarios no autorizados a las instalaciones de cmputo
restringidas.
4.1.3 Cuando un funcionario no autorizado o un visitante requieran la necesidad de
ingresar a un equipo de computo, debe solicitar mediante comunicado interno
debidamente firmada y autorizado por el director y para un visitante se debe solicitar
la visita con anticipacin la cual debe traer el visto bueno del director, y donde se
especifique tipo de actividad a realizar, y siempre contar con la presencia de un
funcionario que le corresponda el equipo de computo.
4.1.4 El director del El Instituto Municipal del Deporte y la Recreacin de Tulu
deber llevar un registro escrito de todas las visitas autorizadas a los Equipos de
Cmputo restringidos.
4.1.5 Todo equipo informtico ingresado a los Centros de Cmputo restringidos
deber ser registrado en el libro de visitas.
4.1.6 Cuando se vaya a realizar un mantenimiento en algunos de los equipos del
Centro de Cmputo, se debe dar aviso con anticipacin a los usuarios para evitar
traumatismos.
4.1.7 El director deber solicitar la proteccin para las instalaciones contra
incendios, inundaciones, sistema elctrico de respaldo, UPS.
4.2 Uso de medios de almacenamiento
4.2.1 Los usuarios de Instituto Municipal del Deporte y la Recreacin de Tulu deben
conservar los registros o la informacin que se encuentra activa y aquella que ha
sido clasificada como reservada o confidencial.
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 11 de 58
Adquisicin de software.
4.3.1 Los usuarios y funcionarios que requieran la instalacin de software que o sea
propiedad del Instituto Municipal del Deporte y la Recreacin de Tulu, debern
justificar su uso y solicitar su autorizacin por El Instituto Municipal del Deporte y la
Recreacin de Tulu, con el visto bueno del Director, indicando el equipo de cmputo
donde se instalar el software y el perodo de tiempo que ser usado.
4.3.2 Se considera una falta grave el que los usuarios o funcionarios instalen
cualquier tipo de programa (software) en sus computadoras, estaciones de trabajo,
servidores, o cualquier equipo conectado a la red de Instituto Municipal del
Deporte y la Recreacin de Tulu, que no est autorizado.
4.3.3 Instituto Municipal del Deporte y la Recreacin de Tulu, garantiza la
legalidad de los programas adquiridos, debidamente certificndolos con las facturas
de compra de cada uno.
4.3.5 El control de manejo para las licencias y el inventario de los Medios, paquete
de CDs ser responsabilidad de la Instituto Municipal del Deporte y la Recreacin de
Tulu en cabeza del Director, o su delegado, en caso de ausencia.
4.3.6 El Grupo de Apoyo (Tcnicos) del Instituto Municipal del Deporte y la
Recreacin de Tulu tiene la responsabilidad de velar por el buen uso de los
equipos de cmputo y del cumplimiento de las polticas de seguridad. A su vez
debern ofrecer mantenimiento preventivo a las computadoras de la Institucin.
4.3.7 En el proceso de reinstalar un programa el tcnico debe borrar completamente
la versin instalada para luego proceder a instalar la nueva versin que desea, esto
siempre y cuando no sea una actualizacin del mismo.
4.3.8 Deben mantener un inventario de equipos fsicos y de los programas
instalados y pueden borrar o instalar programas o software autorizados y legalmente
licenciados.
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 12 de 58
Licenciamiento de Software
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 13 de 58
4.6
Administracin de la Red
4.6.1 Los usuarios de las reas de Instituto Municipal del Deporte y la Recreacin
de Tulu no deben establecer redes de rea local, conexiones remotas a redes
internas o externas, intercambio de informacin con otros equipos de cmputo
utilizando el protocolo de transferencia de archivos (FTP), u otro tipo de protocolo
para la transferencia de informacin empleando la infraestructura de red de la
entidad, sin la autorizacin del rea de Computo y del administrador de la contrasea
de la red.
4.7 Seguridad para la red
4.7.1 Ser considerado como un ataque a la seguridad informtica y una falta grave,
cualquier
actividad
no
autorizada por rea de Computo, en la cual los
usuarios o funcionarios realicen la exploracin de los recursos informticos en la red
de del Instituto Municipal de deporte y la Recreacin de Tulu, as como de las
aplicaciones que sobre dicha red operan, con fines de detectar y explotar una posible
vulnerabilidad.
4.8
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 14 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 15 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 16 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 17 de 58
Manual de Roles:
El rea de computo de Instituto Municipal del Deporte y la Recreacin de Tulu tiene
como principal responsabilidad la administracin y coordinacin del proceso de
Seguridad Informtica del a institucin.
Tiene como responsabilidad asegurar el buen funcionamiento del proceso de
seguridad Informtica de la institucin.
Debe ser el punto de referencia para todos los procesos de seguridad y ser capaz de
guiar y aconsejar a los usuarios de la institucin sobre cmo desarrollar
procedimientos para la proteccin de los recursos.
Una tarea clave, es guiar al cuerpo directivo y a la administracin de la institucin
ante incidentes de seguridad mediante un Plan de Respuesta a Incidentes, con el fin
de atender rpidamente este tipo de eventualidades.
Es responsable de proponer y coordinar la realizacin de un anlisis de riesgos
formal en seguridad de la informacin que abarque toda la institucin.
Es deber del Instituto Municipal del Deporte y la Recreacin de Tulu, el desarrollo
de procedimientos de seguridad detallados que fortalezcan la poltica de seguridad
informtica institucional.
Es responsabilidad del Instituto Municipal del Deporte y la Recreacin de Tulu,
promover la creacin y actualizacin de las polticas de seguridad informtica, debido
al comportamiento cambiante de la tecnologa que trae consigo nuevos riesgos y
amenazas.
Es responsabilidad del Gestor de Seguridad el desarrollo de un Plan de Seguridad de
la Informacin.
Las personas encargadas deben atender y responder inmediatamente las
notificaciones de sospecha de un incidente de seguridad o de incidentes reales.
Es responsabilidad del director del Instituto Municipal del Deporte y la Recreacin de
Tulu, coordinar la realizacin peridica de auditoras a las prcticas de seguridad
informtica.
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 18 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 19 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 20 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 21 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 22 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 23 de 58
2. Revisar el sistema que fue afectado para poder tomar medidas frente la intrusin.
3. Volver a instalar el sistema, utilizar las copias de respaldo y asegurarnos que las
copias se hayan realizado antes de la intrusin.
4. Informacin a los empleados y usuarios del Instituto Municipal del deporte y la
Recreacin de tulu.
5. Desactivar los servicios sin utilizar en el sistema afectado del Instituto Municipal
del deporte y la Recreacin de tulu.
Restaurar los sistemas afectados
Para restaurar los sistemas afectados hay que conservar las pruebas en contra de la
intrusin, asegurarse de tener los respaldos del sistema y que sean del sistema
afectado. Puede incluir lo siguiente:
Los usuarios deben cambiar las contraseas, si las contraseas han sido
interceptadas e informales que deben ser fuertes y no divulgarlas.
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 24 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 25 de 58
Actividad 5:
Actividad 6:
Actividad 7:
Actividad 8:
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 26 de 58
Actividad 5:
Actividad 6:
Actividad 7:
Actividad 8:
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 27 de 58
Actividad 5:
Actividad 6:
Actividad 7:
Actividad 8:
Actividad 9:
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 28 de 58
Actividad 5:
Actividad 6:
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 29 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 30 de 58
Actividad 7:
Actividad 8:
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 31 de 58
Actividad 2:
Actividad 3:
Actividad 4:
Actividad 5:
Actividad 6:
Actividad 7:
Actividad 8:
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 32 de 58
Actividad 2:
Actividad 3:
Actividad 4:
Actividad 5:
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 33 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 34 de 58
4.12.3 Los usuarios de Internet del Instituto Municipal del Deporte y la Recreacin de
Tulu tienen que reportar todos los incidentes de seguridad informtica a el rea de
Cmputo inmediatamente despus de su identificacin, indicando claramente que se
trata de un incidente de seguridad informtica.
4.12.4 Los usuarios del servicio de navegacin en Internet, al aceptar el servicio
estn aceptando que:
Sern sujetos de monitoreo de las actividades que realiza en Internet, saben que
existe la prohibicin al acceso de pginas no autorizadas, saben que existe la
prohibicin de transmisin de archivos reservados o confidenciales no autorizados.
Saben que existe la prohibicin de descarga de software sin la autorizacin del rea
de cmputo.
La utilizacin de Internet es para el desempeo de sus funciones y cargo en el
Instituto Municipal del Deporte y la Recreacin de Tulu y no para propsitos
personales.
5. Acceso Lgico
Poltica: Cada usuario y funcionario son responsables de los mecanismos de control
de acceso que les sean proporcionado; esto es, de su Cuenta de usuario
Administrador y contrasea necesarios para acceder al equipo de computo y a la
infraestructura tecnolgica del Instituto Municipal del Deporte y la Recreacin de
Tulu, por lo que se deber mantener de forma confidencial. Solo el encargado de
rea de computo las debe saber.
El permiso de acceso a la informacin que se encuentra en la infraestructura
tecnolgica del Instituto Municipal del Deporte y la Recreacin de Tulu debe ser
proporcionado por el dueo de la informacin, con base en el principio de Derechos
de Autor el cual establece que nicamente se debern otorgar los permisos mnimos
necesarios para el desempeo de sus funciones.
5.1
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 35 de 58
5.1.2 Todos los usuarios debern autenticarse por los mecanismos de control de
acceso provistos por el rea de Cmputo antes de poder usar la infraestructura
tecnolgica de la Instituto Municipal del Deporte y la Recreacin de Tulu.
5.1.3 Los usuarios no deben proporcionar informacin a personal externo, de los
mecanismos de control de acceso a las instalaciones e infraestructura tecnolgica de
Instituto Municipal del Deporte y la Recreacin de Tulu, a menos que se tenga el
visto bueno del dueo de la informacin y de el rea de Cmputo y la autorizacin
del Secretario General o de su Jefe inmediato.
5.1.4 Cada usuario que acceda a la infraestructura tecnolgica de Instituto Municipal
del Deporte y la Recreacin de Tulu debe contar con un identificador de usuario (ID)
nico y personalizado. Por lo cual no est permitido el uso de un mismo ID por varios
usuarios.
5.1.5 Los usuarios y funcionarios son responsables de todas las actividades
realizadas con su usuario (ID). Los usuarios no deben divulgar ni permitir que otros
utilicen sus identificadores de usuario, al igual que tiene prohibido utilizar el ID de
otros usuarios.
MANUAL DE ACCESO LGICO
POLTICA: Cada usuario se responsabilizar por el mecanismo de acceso lgico
asignado, esto es su identificador de usuario y contrasea necesarios para acceder a
la informacin e infraestructura de Instituto Municipal del Deporte y la Recreacin de
Tulu, es responsabilidad de cada usuario la confidencialidad de los mismos.
El acceso a la informacin que fluye dentro de la infraestructura tecnolgica del
Instituto Municipal del Deporte y la Recreacin de Tulu se otorga en base a las
funciones del usuario, se debern otorgar los permisos mnimos necesarios para el
desempeo del cargo o rol.
CONTROLES DE ACCESO LGICO: Todos los usuarios de equipos
computacionales son responsables de la confidencialidad del identificador de usuario
(ID) y el password o contrasea de su equipo, as como de aplicaciones especiales
que requieran el mismo control de acceso lgico.
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 36 de 58
Todos los usuarios debern autenticarse con los mecanismos de control de acceso
lgico antes de tener acceso a los recursos de la Infraestructura tecnolgica en
Instituto Municipal del Deporte y la Recreacin de Tulu. No est permitido a los
usuarios proporcionar informacin a personal externo sobre los mecanismos de
control de acceso a los recursos e infraestructura tecnolgica de la Institucin, salvo
el caso de autorizacin expresa por el Director.
El identificador de usuario dentro de la red es nico y personalizado, no est
permitido el uso del mismo identificador de usuario por varios miembros del personal.
El usuario es responsable de todas las actividades realizadas con su identificador de
usuario, por tanto no debe divulgar ni Permitir que terceros utilicen su identificador, al
igual que est prohibido usar el identificador de usuario de otros.
ADMINISTRACIN DE PRIVILEGIOS: Todo cambio en roles, funciones o cargo que
requiera asignar al usuario atributos para acceso a diferentes prestaciones de la
infraestructura tecnolgica en Instituto Municipal del Deporte y la Recreacin de
Tulu debe ser notificado a el rea de Cmputo o el Jefe inmediato correspondiente
al rea.
5.2
Administracin de privilegios
5.2.1 Cualquier cambio en los roles y responsabilidades de los usuarios debern ser
notificados a el rea de Cmputo, para el cambio de privilegios.
Funciones especficas Manual de Roles
Para todo el personal integrante del Instituto Municipal del Deporte y la Recreacin
de Tulu:
1. Administrar y evaluar los requerimientos de informacin de las distintas reas del
Instituto Municipal del Deporte y la Recreacin de Tulu.
2. Coordinar con el Equipo con el Apoyo del rea de Cmputo en la definicin,
factibilidad, especificacin y validacin de requerimientos.
3. Vigilar la correcta aplicacin de los estndares y metodologas de desarrollo de
sistemas de informacin, as como sugerir las mejoras que sean necesarias.
4. Coordinar con los lderes usuarios de las distintas areas para la definicin de
requerimientos funcionales y no funcionales de los sistemas de informacin.
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 37 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 38 de 58
23.
Determinar y gestionar de inmediato las actividades a realizar para generar
una solucin y puesta en marcha en el menor tiempo posible de todos los sistemas
de informacin colapsados en el desastre.
24.
Administrador de la Red: Actualmente vivimos en una sociedad que depende
de los Sistemas de Informacin (Tics), que se encuentran tanto en la parte interna
como externa de toda organizacin, sin embargo para poder acceder a esta
informacin es necesario que estos sistemas se encuentren interconectados por
medio de un recurso llamado red. Red, recurso constituido por equipos, de medios
de comunicacin, adicionalmente, las redes internas se conectan a otras redes
(corporativas, Internet), lo que hace que se vuelvan ms complejas y robustas. Es
por ello, que se hace necesario el uso de herramientas para dar el soporte adecuado
y ptimo. La ISO International Standards Organization, cre un modelo de
administracin, donde se definen claramente las funciones de los administradores de
redes.
5.3
Equipo desatendido
5.3.1 Los usuarios debern mantener sus equipos de cmputo con controles de
acceso como contraseas previamente instalados y autorizados por el rea de
Cmputo cuando no se encuentren en su lugar de trabajo.
5.4 Administracin y uso de contraseas
5.4.1 La asignacin de contraseas debe ser realizada de forma individual, por lo que
el uso de contraseas compartidas est prohibido,
MANUAL USO DE CONTRASEAS.
El uso de contrasea es un aspecto fundamental de la seguridad de los recursos
informticos; una contrasea mal elegida o no protegida puede generar problemas
de seguridad en la organizacin.
El objetivo fundamental de este documento es establecer un estndar para la
creacin de contraseas fuertes, favorecer su proteccin, as como el cambio
frecuente de las mismas.
El mbito de estas recomendaciones incluye a todos aquellos usuarios de los
servicios y recursos informticos del Instituto Municipal del Deporte y la Recreacin
de Tulu, que tienen o son responsables de un equipo de cmputo (o cualquier otro
tipo de acceso que requiera contrasea).
Carrera 26 Nmero 28-12 Tel: (2) 2243535
www.tulua.gov.co email: imder@tulua.gov.co
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 39 de 58
RECOMENDACIONES GENERALES
Todo usuario del Instituto Municipal del Deporte y la Recreacin de Tulu es
responsable de velar por la seguridad de las contraseas seleccionadas por l
mismo para el uso de los distintos servicios y recursos ofrecidos. Cualquier
contrasea es de uso exclusivo, y por tanto intransferible, del usuario al que se ha
otorgado. Han de seguirse las siguientes directrices:
Todas los contraseas de cuentas de administrador, etc. debern cambiarse con
una periodicidad de al menos una vez cada seis meses.
Todas las contraseas de usuario (cuentas de correo, cuentas de servicios web,
etc) debern cambiarse al menos una vez cada doce meses.
Ante la sospecha de que una contrasea haya sido comprometida, se cambiar la
misma de forma inmediata, y se proceder a avisar del incidente de seguridad por los
cauces establecidos.
Las cuentas de usuario que tengan privilegios de sistema a travs de su
pertenencia a grupos o por cualquier otro medio, debern tener contraseas distintas
a otras cuentas mantenidas por dicho usuario en los servicios y recursos.
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 40 de 58
Las contraseas deben crearse de forma que puedan recordarse fcilmente, bien de
forma directa o a travs de reglas nemotcnicas
Recomendaciones para la proteccin de contraseas
Se recomienda proteger la contrasea elegida con las siguientes recomendaciones:
Usar contraseas diferenciadas en funcin del uso (por ejemplo no debe usarse la
misma para una cuenta de recursos y servicios que la usada para acceso a servicios
bancarios).
Si se dispone de diferentes cuentas de acceso a servicios y recursos en el Instituto
Municipal del Deporte y la Recreacin de Tulu, deben usarse distintas claves para
cada una de ellas.
No compartir de ninguna forma cuentas y contraseas. Son estrictamente
personales e intransferibles. Solo al encargado al rea de Cmputo.
No revelar ni compartir su contrasea por telfono, correo electrnico, anotndola o
de cualquier otra forma a nadie, incluso aunque le hablen en nombre de un superior
suyo en la organizacin.
Nunca escribir la contrasea, ni almacenarla en ficheros sin encriptar, ni
comunicarla en el texto de mensajes de correo electrnico, ni en ningn otro medio
de comunicacin electrnica.
No se comunicarn en conversaciones telefnicas.
Cambiar las contraseas con la frecuencia recomendada para cada tipo de cuenta y
servicio.
5.4.2 Cuando un usuario olvide, bloquee o extrave su contrasea, deber acudir al
rea de Cmputo para que se le proporcione una nueva contrasea.
5.4.3 Est prohibido que las contraseas se encuentren de forma legible en cualquier
medio impreso y dejarlos en un lugar donde personas no autorizadas puedan
descubrirlos.
5.4.4 Sin importar las circunstancias, las contraseas nunca se deben compartir o
revelar. Hacer esto responsabiliza al usuario que prest su contrasea de todas las
acciones que se realicen con el mismo.
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 41 de 58
5.4.5 Todo usuario que tenga la sospecha de que su contrasea es conocido por
otra persona, deber cambiarlo inmediatamente.
5.4.6 Los usuarios no deben almacenar las contraseas en ningn programa o
sistema que proporcione esta facilidad.
5.5
5.5.1 Cualquier nuevo rol creado por el rea de Cmputo se deber analizar y
concertar con dicha rea.
5.5.2 Todo usuario debe quedar registrado en la Base de Datos Usuarios y Roles.
La creacin de un nuevo usuario y/o solicitud para la asignacin de otros roles dentro
del sistema de Instituto Municipal del Deporte y la Recreacin de Tulu, deber de
venir acompaado del reporte debidamente firmado por el Jefe de rea y con el
visto bueno de la Alta Direccin, de lo contrario no se le dar trmite a dicha
requisicin.
5.6
7.1
Los sistemas desarrollados por personal interno o externo que controle el rea
de Cmputo son propiedad intelectual de Instituto Municipal del Deporte y la
Recreacin de Tulu.
8.
Clusulas de cumplimiento
8.1
El rea de Cmputo realizar acciones de verificacin del cumplimiento del
Manual de Polticas y Estndares de Seguridad Informtica.
Carrera 26 Nmero 28-12 Tel: (2) 2243535
www.tulua.gov.co email: imder@tulua.gov.co
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 42 de 58
8.2
El rea de Cmputo podr implantar mecanismos de control que permitan
identificar tendencias en el uso de recursos informticos del personal interno o
externo, para revisar la actividad de procesos que ejecuta y la estructura de los
archivos que se procesan. El mal uso de los recursos informticos que sea detectado
ser reportado conforme a lo indicado en la poltica de Seguridad de Personal.
8.3
Los jefes y responsables de los procesos establecidos en el Instituto
Municipal del Deporte y la Recreacin de Tulu, deben apoyar las revisiones del
cumplimiento de los sistemas con las polticas y estndares de seguridad informtica
apropiadas y cualquier otro requerimiento de seguridad.
9 Violaciones de seguridad Informtica
9.1
Est prohibido el uso de herramientas de hardware o software para violar los
controles de seguridad informtica. A menos que se autorice por el rea de Computo.
9.2
Ningn usuario o funcionario de Instituto Municipal del Deporte y la Recreacin
de Tulu debe probar o intentar probar fallas de la Seguridad Informtica conocidas,
a menos que estas pruebas sean controladas y aprobadas por el rea de Cmputo.
9.3
No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar,
propagar, ejecutar o intentar introducir cualquier tipo de cdigo (programa) conocidos
como virus, gusanos o caballos de Troya, diseado para auto replicarse, daar o
afectar el desempeo o acceso a las computadoras, redes o informacin de Instituto
Municipal del Deporte y la Recreacin de Tulu.
10.
10.1 La Alta Direccin del Instituto Municipal del Deporte y la Recreacin de Tulu
deber poner a disposicin del rea de Cmputo, la informacin contractual de los
equipos informticos de Cmputo Escritorio, Porttil y perifrica, as como de los
servicios de soporte y mantenimiento.
10.2 El rea de Cmputo, ser quien valide el cumplimiento de las Condiciones
Tcnicas de los equipos informticos de Cmputo Escritorio, Porttiles y Perifricos
adquiridos.
10.3 El rea de Cmputo, tendr bajo su resguardo las licencias de software, CD
de software y un juego de manuales originales, as como un CD de respaldo para su
Carrera 26 Nmero 28-12 Tel: (2) 2243535
www.tulua.gov.co email: imder@tulua.gov.co
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 43 de 58
instalacin, mismos que sern entregados por la Alta direccin o el rea usuaria de la
licencia, para llevar el control de software instalado, para los equipos informticos de
cmputo Escritorio, Porttiles y perifricos al momento de la recepcin de los
mismos.
10.4 Los requerimientos de Equipos Informticos de Cmputo Escritorio, Porttiles
y perifricos, se llevarn a cabo mediante la solicitud y justificacin por escrito,
firmada por el usuario del rea solicitante, lo cuales sern evaluados por la Oficina
Nuevas Tecnologas para su autorizacin e inclusin en el Plan Anual de
Presupuesto correspondiente.
10.5 El rea de Cmputo, es el rea encargada de tramitar las asignaciones,
reasignaciones, bajas, etc. de equipos informticos de cmputo Escritorio, Porttiles
y perifricos ante la Seccin Financiera entidad encargada del Inventario de Activos
para su ejecucin, con base a las solicitudes realizadas al respecto y las revisiones
de aprovechamiento de los mismos.
10.6 El grupo de apoyo del Instituto Municipal del Deporte y la Recreacin de
Tulu, elaborar y registrar en cada asignacin o movimiento de equipos
informticos de cmputo Escritorio,
Porttiles y perifricos, el documento
denominado FORMATO DE SOLICITUD DE REPARACIN, ACTUALIZACIN,
MANTENIMIENTO O CAMBIO DE EQUIPOS el cual se puede solicitar al rea de
Computo. El cual contiene los datos generales del usuario y de los bienes
informticos entregados, as mismo, contendr los datos de software instalado
autorizado y configuracin del equipo, contando con la firma de conformidad del
usuario correspondiente.
10.7 Queda prohibido a los usuarios mover los equipos informticos de cmputo
Escritorio, Porttiles y perifricos por su propia cuenta, el usuario deber solicitar al
rea de Cmputo el movimiento as como informar la razn del cambio y en su caso,
requerir la reasignacin del equipo.
10.8 El rea de Cmputo deber elaborar el pase de salida cuando algn bien
informtico de cmputo Escritorio, Porttiles y perifrico requiera ser trasladado fuera
de las instalaciones del Instituto Municipal del Deporte y la Recreacin de Tulu por
motivo de garanta, reparacin o evento.
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 44 de 58
Versin: 01
Cdigo:
CP-CI
Pgina 45 de 58
MODIFICACION
Nombre y Apellidos
Usuario
ELIMINACION
rea
ID-Usuario
Versin: 01
Cdigo:
CP-CI
Pgina 46 de 58
MANUAL DE CONTINGENCIAS
INTRODUCCION
Usualmente los controles de operacin en el uso de las Tics aplicados al proceso
enseanza - aprendizaje permitirn elevar el desempeo en los sistemas previniendo
fallas tanto de software, como de hardware y tambin humanas. Razn por la cual es
de mucha importancia, mantener un nivel aceptable de operacin para el buen
funcionamiento de los Equipos de cmputo, toda la infraestructura administrativa.
Plan de Contingencia
Se puede definir como un conjunto de procedimientos que permitan recuperar el
estado normal de funcionamiento de toda la infraestructura informtica y as poder
prestar un servicio de calidad en el uso de Tics.
El Plan de Contingencias implica realizar anlisis de los posibles riesgos a los cuales
se puede estar expuesto, tanto el equipo informtico, como toda la informacin
contenida en los diversos medios de almacenamiento.
Pese a todas las medidas de seguridad a implementar, puede ocurrir un desastre,
por tanto es necesario que el Plan de Contingencias incluya un Programa de
Recuperacin ante Desastres, el cual tendr como objetivo principal, la restauracin
del servicio en forma rpida, eficiente y con el menor costo y prdidas posibles. Se
pueden presentar daos de diferentes niveles, por lo que se hace necesario suponer
que el desastre ha sido total, motivo por el cual se debe establecer un Plan de
Contingencias lo ms completo posible.
Fases de un Plan de Contingencias:
Plan de Reduccin de Riesgos.
Plan de Recuperacin de Desastres.
Actividades Previas al Desastre.
Establecimiento del Plan de Accin.
Actividades durante el Desastre.
Plan de Emergencias.
Actividades despus del Desastre.
Evaluacin de Daos.
Ejecucin de Actividades
Evaluacin de Resultados.
Retroalimentacin del Plan de Accin.
Carrera 26 Nmero 28-12 Tel: (2) 2243535
www.tulua.gov.co email: imder@tulua.gov.co
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 47 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 48 de 58
Plan de Recuperacin
Es de vital importancia definir los procedimientos y planes de accin para el caso de
una posible falla, siniestro o desastre que afecten la infraestructura tecnolgica tanto
acadmica como administrativa.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que
la origin y el dao producido, lo que permitir recuperar y poner en marcha, en el
menor tiempo posible el proceso perdido.
Los procedimientos debern ser de ejecucin obligatoria y bajo la responsabilidad de
los encargados de la realizacin de los mismos, debiendo haber procesos de
verificacin de su cumplimiento. Estos procedimientos estarn a cargo del personal
del instituto Municipal del Deporte y la Recreacin del tulu.
Las actividades a realizar en un Plan de Recuperacin se pueden clasificar en tres
etapas:
1. Actividades previas al Desastre: Son todas las actividades de planeamiento,
preparacin, entrenamiento y ejecucin de las actividades de resguardo de los
activos de la infraestructura tecnolgica de la Institucin, que nos aseguren un
proceso de Recuperacin con el menor costo posible.
Establecimiento del Plan de Accin
Equipos de Cmputo: Es necesario realizar un inventario actualizado de los equipos,
especificando su contenido (software y licencias).
Respaldos de Informacin o Backups: Se deber establecer los procedimientos para
la obtencin de copias de Seguridad de todos los elementos de software necesarios
para asegurar la correcta ejecucin del Software y/o Sistemas operativos. Copias del
Sistema Operativo (en caso de tener varios Sistemas Operativos o versiones, se
contar con una copia de cada uno de ellos), Software de uso diario, herramientas de
trabajo, Bases de Datos, Aplicativos.
Uso obligatorio de un registro detallado y control de los Backups.
Almacenamiento de los Backups en condiciones ambientales ptimas,
dependiendo del medio magntico empleado.
Carrera 26 Nmero 28-12 Tel: (2) 2243535
www.tulua.gov.co email: imder@tulua.gov.co
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 49 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 50 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 51 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 52 de 58
Versin: 01
Cdigo:
CP-CI
Pgina 53 de 58
Despus de un tiempo.
4 Recibe de Almacn y Compras las partes y/o materiales, repara el equipo de
cmputo y verifica su funcionamiento adecuado.
5 Traslada y entrega equipo de cmputo, al rea del funcionario/contratista del
mismo, y lo instala informando que ya fue realizado el mantenimiento correctivo.
3.3
Procesa la informacin actualizando los link o realiza el diseo de los
nuevos enlaces de la pgina Web.
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 54 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 55 de 58
Glosario
Para comprender los trminos para el presente documento, se entiende por:
Administrador del sistema. Persona responsable de administrar, controlar,
supervisar y garantizar la operatividad y funcionalidad de los sistemas. Dicha
administracin est en cabeza de la Gerencia de informtica.
Administrador de correo. Persona responsable de solucionar problemas en el
correo electrnico, responder preguntas a los usuarios y otros asuntos en un
servidor.
Buzn. Tambin conocido como cuenta de correo, es un receptculo exclusivo,
asignado en el servidor de correo, para almacenar los mensajes y archivos adjuntos
enviados por otros usuarios internos o externos a la empresa.
Chat. (Tertulia, conversacin, charla). Comunicacin simultnea entre dos o ms
personas a travs de Internet.
Computador. Es un dispositivo de computacin de sobremesa o porttil, que utiliza
un microprocesador como su unidad central de procesamiento o CPU.
Contrasea o password. Conjunto de nmeros, letras y caracteres, utilizados para
reservar el acceso a los usuarios que disponen de esta contrasea.
Correo electrnico. Tambin conocido como E-mail, abreviacin de electronic mail.
Consiste en el envo de textos, imgenes, videos, audio, programas, etc., de un
usuario a otro por medio de una red. El correo electrnico tambin puede ser enviado
automticamente a varias direcciones.
Cuentas de correo. Son espacios de almacenamiento en un servidor de correo,
para guardar informacin de correo electrnico. Las cuentas de correo se componen
de un texto parecido a este mperez @codechoco.gov.co donde " mperez " es
nombre o sigla identificadora de usuario, " codechoco " el nombre de la empresa con
la que se crea la cuenta o el dominio y ".gov.co" una extensin propio de Internet
segn el dominio.
Edicin de cuentas de correo. Mirar o leer el contenido de los correos recibidos o
enviados por un usuario.
Carrera 26 Nmero 28-12 Tel: (2) 2243535
www.tulua.gov.co email: imder@tulua.gov.co
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 56 de 58
Fecha de aprobacin:
03 de Febrero de 2009
Cdigo:
CP-CI
Pgina 57 de 58
Red: Se tiene una red, cada vez que se conectan dos o ms computadoras de
manera que pueden compartir recursos.
Seguridad: Mecanismos de control que evitan el uso no autorizado de recursos.
Servidor. Computadora que comparte recursos con otras computadoras, conectadas
con ella a travs de una red.
S.O. (Sistema Operativo). Programa o conjunto de programas que permiten
administrar los recursos de hardware y software de una computadora.
Software. Todos los componentes no fsicos de una PC (Programas).
Usuario. Toda persona, funcionario (empleado, contratista, temporal), que utilice los
sistemas de informacin de la empresa debidamente identificado y autorizado a
emplear las diferentes aplicaciones habilitadas de acuerdo con sus funciones.
Virus. Programa que se duplica a s mismo en un sistema informtico,
incorporndose a otros programas que son utilizados por varios sistemas. Estos
programas pueden causar serios problemas a los sistemas infectados. Al igual que
los virus en el mundo animal o vegetal, pueden comportarse de muy diversas
maneras. (Ejemplos: caballo de Troya y gusano).
Monitoreo de Cuentas de correo. Vigilancia o seguimiento minucioso de los
mensajes de correo que recibe y enva un usuario.
Pagina Web. Es equivalente a tener un sitio en Internet disponible para ser accesado
y consultado por todo navegante en la red pblica. Es un instrumento avanzado y
rpido de la comunicacin que facilita el suministro de informacin de productos o
entidades. Tambin considerado como un conjunto de pginas con redes sociales,
las cuales se pueden accesar a travs de Internet.
Versin: 01
_______________________________________
REVISIN
_______________________________________
SECRETARIA GENERAL
_______________________________________
APROBACIN
Cdigo:
CP-CI
Pgina 58 de 58