Politica de Seguridad

8 abr. 2014 - Nombre del documento: Política de Seguridad Informática ..... y Comunicaciones - TIC´s -, sistemas de información, redes informáticas,.
735KB Größe 14 Downloads 59 vistas
Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

1 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

POLÍTICA DE SEGURIDAD INFORMÁTICA

OFICINA DE INFORMÁTICA

Elaboró: Shirley Sanmiguel Santos Revisó: Luz Helena Cuintaco/Ronald Amor Baldovino Aprobó: Carlos Díaz Royert Fecha de elaboración: Abril 17 de 2009 Fecha de actualización: Enero 20 de 2012 Abril 08 de 2014

1

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

2 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

TABLA DE CONTENIDO 1.

INTRODUCCIÓN ................................................................................................................................... 4

2.

ANTECEDENTES ................................................................................................................................... 4

3.

OBJETIVO GENERAL ............................................................................................................................ 5

4.

OBJETIVOS ESPECÍFICOS ................................................................................................................... 5

5.

BENEFICIOS............................................................................................................................................ 6

6.

ALCANCE ................................................................................................................................................ 7

7.

DEFINICIONES ....................................................................................................................................... 7

8.

ORGANIGRAMA DE FEDEGAN FNG ..........................................................................................14

9.

ORGANIGRAMA DE LA OFICINA DE INFORMATICA ...............................................................15

10.

NORMAS GENERALES ..................................................................................................................16

10.1

Utilización ...............................................................................................................................17

10.2

Supervisión y control ..........................................................................................................18

10.3

Obligaciones ..........................................................................................................................18

10.4

Solicitudes de soporte a la Oficina de Informática - OI ..........................................20

10.5

Confidencialidad de la información de la Organización y trato con terceros. 21

11.

MANEJO DE CONTRASEÑAS DE RED ......................................................................................23

12.

CUENTAS DE USUARIO DE RED ................................................................................................24

13.

ADMINISTRACIÓN Y GESTIÓN DE CORREO ELECTRÓNICO CORPORATIVO...............26

13.1

Envíos y transferencias de archivos adjuntos .............................................................29

13.2.

Administración de usuarios de correo corporativo ..................................................30

14.

PLATAFORMA DE INTERNET .....................................................................................................31

15.

PLATAFORMA DE ANTIVIRUS ....................................................................................................34

15.1.

Inicio y desarrollo ................................................................................................................34

15.2.

Características del antivirus ..............................................................................................35

15.3.

Componentes del antivirus .............................................................................................36

16.

SEGURIDAD PERIMETRAL ...........................................................................................................37 2

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

3 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

17.

CONTROL DEL SOFTWARE .........................................................................................................38

18.1. 18.

Actualizaciones de Windows Update ............................................................................39

CENTRO DE CÓMPUTO................................................................................................................39

18.1.

Acceso al centro de cómputo ..........................................................................................40

18.2.

Administradores del centro de cómputo .....................................................................40

19.

DISPOSITIVOS DE ALMACENAMIENTO ..................................................................................41

20.

LICENCIAMIENTO DE SOFTWARE ............................................................................................42

21. PLAN DE CONTINGENCIAS DE LOS SISTEMAS DE INFORMACION Y DE COMUNICACIONES. ...................................................................................................................................42 REFERENCIAS ...............................................................................................................................................56

3

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

4 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

1.

INTRODUCCIÓN

Los requerimientos de seguridad que involucran las tecnologías de la información y las comunicaciones, en pocos años han cobrado un gran auge, y más aún con las de carácter globalizador como los son las de Internet, Correo Electrónico y en particular la relacionada con la Web. Por ello, las políticas de seguridad en informática emergen como un instrumento para concientizar a los miembros de las Organizaciones acerca de la importancia y sensibilidad de la información y servicios críticos, de la superación de las fallas y de las debilidades, de tal forma que permitan a la Organización cumplir con su misión. Estas políticas, pretenden ser el medio dinámico de comunicación en el cual se establecen las reglas, normas, controles y procedimientos que regulen la forma en que la Organización, prevenga, proteja y maneje los riesgos de seguridad en diversas circunstancias, y deberán seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, desarrollo de nuevos servicios, entre otros.

2.

ANTECEDENTES

Ante el esquema de globalización que las tecnologías de la información han originado principalmente por el uso masivo y universal de la Internet y sus tecnologías, las organizaciones se ven inmersas en ambientes agresivos donde el delinquir, sabotear, robar se convierte en retos para delincuentes informáticos universales conocidos como Hackers, Crackers, etc., es decir en transgresores. Conforme las tecnologías se han esparcido, la severidad y frecuencia las han

4

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

5 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

transformado en un continuo riesgo, que obliga a las organizaciones a crear medidas de emergencia y políticas definitivas para contrarrestar estos ataques y transgresiones. El objetivo principal de esta política es brindar a los usuarios los recursos informáticos con la cantidad y calidad que demandan, esto es, que tengamos continuidad en el servicio y manejo de la información de manera confiable. La seguridad de las organizaciones en muchos de los países se ha convertido en cuestión de seguridad nacional, por ello contar con un documento de políticas de seguridad es imprescindible, y éste debe de plasmar mecanismos que permitan proteger los activos en Tecnologías de Información y Comunicaciones - TIC´s - de la Organización. Así pues, ante este panorama surge el siguiente proyecto de políticas rectoras que harán que la Oficina de Informática pueda disponer de los ejes de proyección que en materia de seguridad requiere la Organización.

3.

OBJETIVO GENERAL

Brindar a los usuarios de tecnologías de información y comunicaciones de FEDEGANFNG-FEP, un conjunto de lineamientos e instrucciones que permiten garantizar la seguridad en el ambiente informático, la información y demás recursos tecnológicos. Toda persona que utilice servicios y recursos informáticos de FEDEGAN-FNG-FEP, deberá conocer y aceptar el reglamento vigente sobre su uso, el desconocimiento del mismo, no exonera de responsabilidad al usuario ante cualquier eventualidad que involucre la seguridad de la información o de la infraestructura de red de la Organización.

4.

OBJETIVOS ESPECÍFICOS

- Promover el uso de las buenas prácticas de seguridad informática en el trabajo, para 5

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

6 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

que los usuarios colaboren con la protección de la información y recursos institucionales. - Proponer los mecanismos de seguridad lógica, en el ambiente informático de modo que se contribuya con la confidencialidad, integridad y disponibilidad de la información. - Promover las buenas prácticas de seguridad física, mediante la implementación de ambientes adecuados que permitan la correcta custodia de los datos y equipos. - Regular el cumplimiento de aspectos legales y técnicos en materia de seguridad informática. - Homologar y estandarizar la forma de trabajo de personas de diferentes áreas y situaciones que tengan responsabilidades y tareas similares.

5.

BENEFICIOS

Las políticas de seguridad, constituyen la base a partir de la cual la Oficina de Informática

soluciones adquiridos cumplan con los objetivos de la Organización y que éstos sean usados correctamente. Por lo tanto, los beneficios derivados de la buena gestión de políticas de seguridad informática son: - Contar con procedimientos de seguridad informática regulados, uniformes y coherentes en toda la Organización. - Fomentar la cultura organizacional en materia de seguridad informática. - Minimizar la pérdida de la información y recursos a través de la seguridad informática, mediante su aplicación 6

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

7 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

- Proporcionar la confianza necesaria a clientes y usuarios, demostrando que la seguridad es un factor que es importante dentro de FEDEGAN-FNG-FEP y que la misma se aborde correctamente.

6.

ALCANCE

Las políticas aquí documentadas son de observación e implementación obligatoria para todo el personal

que esté involucrado directa o indirectamente con el uso de

Tecnologías de Información y Comunicaciones -TIC´s en FEDEGAN FNG FEP. El desconocimiento de la política no es excusa para su obligatoriedad y cumplimiento.

7.

DEFINICIONES

o Adware: es cualquier programa que automáticamente se ejecuta, muestra o baja publicidad web al computador después de instalar el programa o mientras se está utilizando la aplicación. 'Ad' en la palabra 'adware' se refiere a 'advertisement' (anuncios) en inglés. o Antivirus: Programas especializados en la detección y tratamiento de virus. Dada la velocidad con que aparecen nuevos y más sofisticados de estos programas maliciosos e indeseables, el mayor problema es la actualización continua. El término correcto para el software implementado por la empresa seria anti-malware o suite de antivirus, pero en el documento se referirá a él cómo antivirus. o Base de Datos: Conjunto de ficheros dedicados a guardar información relacionada

7

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

8 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

entre sí, con referencias entre ellos de manera que se complementen con el principio de no duplicidad de datos. Dependiendo de cómo se vinculen dan lugar a B.D. jerárquicas, relacionales, etc. Un caso especial de éstas son las documentales, que, como su nombre indica, están diseñadas para almacenar volúmenes grandes de documentos, lo que genera una problemática distinta por los sistemas de búsqueda. o Carpeta Pública: Las carpetas públicas son una forma conveniente de compartir archivos con los demás usuarios de la red, esta carpeta se encuentra ubicada en cada uno de los computadores de la organización y por parte de la oficina de informática no se realiza backup de esta. Cualquier archivo o carpeta que coloque en esta carpeta pública se comparte automáticamente con las personas que tengan acceso a la red. Esta carpeta debe utilizarse para compartir archivos que son de importancia e interés general de la organización, y no para información personal. o CD o disco compacto. Dispositivo óptico para el almacenamiento de datos, voz o video. Pueden ser de lectura y escritura o únicamente de lectura. o Contraseña. Palabra de acceso compuesta por la combinación de caracteres alfabéticos, numéricos y especiales; la cuál es requerida para tener acceso a los sistemas de información, componentes de hardware, bases de datos y otros componentes electrónicos. o Contraseñas robustas. Palabras de acceso confeccionadas tomando en cuenta reglas de seguridad que impiden que la composición de las mismas, sea fácil de deducir por medios manuales o automatizados. Las contraseñas robustas no se corresponden con palabras o frases de uso común en los idiomas conocidos. o Copia de Seguridad: Una copia de seguridad, copia de respaldo o simplemente respaldo, consiste en guardar la información sensible en otra ubicación diferente a la donde se encuentra por defecto, preferiblemente en

8

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

9 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

una maquina diferente. Esta se puede realizar tanto en computadores personales como en servidores y se pueden utilizar varios medios tales como discos duros externo, un CD-ROM grabable, cintas de datos (DAT), dispositivos USB, a través de la red u otros. o Correo electrónico: herramienta informática que permite el flujo de mensajes entre usuarios de computadores. Permite además la incorporación de archivos de documentos, imágenes, voz y videos. o Cinta magnética: Dispositivo magnético secuencial para el almacenamiento masivo de información. Solo permite el almacenamiento de datos. o Directorio Activo: El Directorio Activo es un servicio de red utilizado para almacenar información acerca de los recursos existentes en la red y controlar el acceso de los usuarios y las aplicaciones a dichos recursos. De esta forma, se convierte

en

un

medio

para

organizar,

administrar

y

controlar

centralizadamente el acceso a los recursos de la red. o Discos: Es un dispositivo de almacenamiento primario para computadores al que se accede directamente para guardar o recuperar documentos. Pueden ser magnéticos (discos rígidos, flexibles) u ópticos (CD-ROM). o Disco Duro: Dispositivo encargado de almacenar información de forma permanente en un computador. Disco de metal cubierto con una superficie de grabación magnética. Haciendo una analogía con los discos musicales, los lados planos de la placa son la superficie de grabación, el brazo acústico es el brazo de acceso y la aguja es la cabeza lectora/grabadora. Los discos magnéticos pueden ser grabados, borrados y regrabados como una cinta de audio. o DVD: Unidad de almacenamiento de datos. De aspecto similar a un CD-ROM,

9

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

10 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

su capacidad de almacenamiento es mucho mayor, Para leerlos, es necesario contar con una lectora de DVD. Pueden utilizarse como medio para almacenar y ver películas, o guardar en ellos gran cantidad de información para ser leída en una PC. o Gusano informático: es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario. A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan. o Hardware: El término hardware se refiere a todas las partes tangibles de un sistema informático; sus componentes son: eléctricos, electrónicos, electromecánicos y mecánicos. Son cables, gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado; contrariamente, el soporte lógico es intangible y es llamado software. o HelpDesk: Herramienta de mesa de ayuda o herramienta de solicitud de soporte en tecnologías de información y comunicaciones disponible para los funcionarios de la Organización. o Internet: Conjunto de redes de computadores creada a partir de redes de menos tamaño, cuyo origen reside en la cooperación de dos universidades estadounidenses. Es la red global compuesta de redes de área local (LAN) y de redes de área extensa (WAN) que utiliza TCP/IP para proporcionar comunicaciones de

10

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

11 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

ámbito mundial a hogares, negocios, escuelas y gobiernos. o Malware: (malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario. El término malware es muy utilizado para referirse a una variedad de software hostil, intrusivo o molesto, El cual incluye virus, gusanos, troyanos, la mayor parte de los rootkits, spyware, adware intrusivo, o Normas de Seguridad: Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red institucional. o Oficina de informática

: Área de la Federación Colombiana de Ganaderos

FEDEGAN-FNG, que vela por todo lo relacionado con la utilización de Tecnologías de Información y Comunicaciones - TIC´s -, sistemas de información, redes informáticas, procesamiento de datos e información y la comunicación en sí, a través de medios electrónicos. o Políticas de Seguridad: Son una forma de comunicación con los usuarios, ya que las mismas constituyen un canal formal de actuación, en relación con los recursos y servicios informáticos de la organización. Estas a su vez establecen las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños, sin importar el origen de estos. o Red externa: todas y cada una de las redes que no pertenecen a FEDEGAN

FNG -

FEP o cualquier unidad de negocio, incluso los sistemas abiertos (entre los cuales se

11

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

12 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

encuentra Internet) y los sistemas y redes de terceros. o Red Interna: Cualquier conjunto de recursos de TI que está controlado directamente por FEDEGAN FNG FEP. o Recursos de TI: cualquier equipo, instalación, red interna o externa (incluso Internet), sistema, servicio, información o dato de tecnología informática. o Rootkit: es un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. o Seguridad informática: es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. Técnicamente es imposible lograr un sistema informático ciento por ciento seguro, pero buenas medidas de seguridad evitan daños y problemas que pueden ocasionar intrusos. Existen dos tipos de seguridad con respecto a la naturaleza de la amenaza: - Seguridad lógica: aplicaciones para seguridad, técnicas, etc. - Seguridad física: control de acceso, mantenimiento eléctrico, anti-incendio, humedad, etc. o Software: Se conoce como software al equipamiento lógico o soporte lógico de un sistema informático, que comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas específicas, en contraposición a los componentes físicos que son llamados hardware. Los componentes lógicos incluyen, entre muchos otros, las aplicaciones informáticas; tales como el procesador de texto, que permite al usuario realizar todas las tareas concernientes a la edición de textos; el llamado software de sistema, tal como el

12

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

13 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

sistema operativo, que básicamente permite al resto de los programas funcionar adecuadamente, facilitando también la interacción entre los componentes físicos y el resto de las aplicaciones, y proporcionando una interfaz con el usuario o

Soporte Técnico: Servicio que se da a los usuarios con el fin de velar por el correcto funcionamiento de los computadores, servidores, aplicativos, bases de datos, equipos de comunicación, etc, dentro de la Organización.

o Spyware: o programa espía es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. o Troyano o caballo de Troya es un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo ocasiona daños, los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos crean una puerta trasera (backdoor) que permite la administración remota a un usuario no autorizado. o USB: Por las siglas en ingles de Universal Serial Bus. La característica principal de este bus reside en que los periféricos pueden conectarse y desconectarse con el equipo en marcha, configurándose de forma automática. o Usuario: Cualquier persona jurídica o natural, que utilice los servicios informáticos de la red institucional de FEDEGAN

FNG

FEP y tenga alguna vinculación con la

Organización. o Virus: Un virus es un programa informático malicioso que se ejecuta en el computador sin previo aviso y que puede dañar el resto de los programas, ficheros de datos e incluso el mismo sistema operativo. Los virus no provocan daños en el hardware del computador, sin embargo sí que pueden borrar los datos del disco duro. Éste podrá volver a utilizarse, una vez eliminado el virus del computador. Los virus se transmiten,

13

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

14 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

normalmente, a través de disquetes, CD´s, USB, o archivos enviados a través de Internet, entre otros. El intercambio de documentos entre usuarios provoca la entrada de estos "inquilinos" en el computador. Los virus suelen esconderse en un programa de aspecto inocente, de manera que, al ejecutarlos, el virus se activa. En ese momento, quedan residentes en la memoria del computador. o Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.

8.

ORGANIGRAMA DE FEDEGAN FNG

La organización interna de FEDEGAN

FNG se encuentra definida según el siguiente

organigrama, donde la oficina de informática es un área de apoyo a todos los procesos de las Organización:

14

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

15 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

Junta Directiva Auditoría Interna Oficina de Planeación

Presidencia Ejecutiva

Oficina de Investigaciones Económicas

Oficina Jurídica

Gerencia Administrativa y Financiera

Gerencia Técnica

Sbgcia. Operativa Coord. Administrativ a

Coord. Financiera

Coord. Recaudos y Cartera

Coord. Grupo Servicios

Coord. Grupo Presupuesto Coord. Grupo Contabilidad Coord.Grupo Tesorería

Coord. Grupo Registro

Coord. Grupo Facturación y

9.

Oficina de Informática

Comité de Dirección

Coord. Grupo Supervisión

Sbgcia. Ciencia y Tecnología

Sbgcia. Cadenas Productivas

Coord. Zona

Coord. Tecnig@n

Coord. Cadena Láctea

Coord. Enlace Regional

Coord. Pregramas Salud y

Coord. Investigación y Desarrollo

Coord. Cadena Cárnica

Coordinador es URDG's

Sbgcia. Salud y Bienestar Animal Coord. Gestión Humana

Coord. Comunicacio nes

Coord. Gestión de Proyectos

ORGANIGRAMA DE LA OFICINA DE INFORMÁTICA

15

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

16 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

10.

NORMAS GENERALES

El incumplimiento de las normas mencionadas en esta política de seguridad, generará 16

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

17 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

sanciones de acuerdo a lo especificado en el Capítulo XV, Artículos 47 y 48 del Reglamento Interno de Trabajo de la Federación Colombiana de Ganaderos

10.1

Utilización

a. Todo el equipo de cómputo, que esté o sea conectado a la Red de FEDEGÁN-FNGFEP, debe de sujetarse a los procedimientos de instalación usados por la Oficina de Informática. b. La integridad de los equipos corresponde a quienes se les asigna, y corresponde notificar los movimientos en caso de que existan, a la Oficina de Informática (Hardware y Software). c. A la oficina de Informática le corresponde la realización del mantenimiento preventivo y correctivo de los equipos, exceptuando el siguiente caso: Cuando la placa de inventario inicia con la letra A, el mantenimiento preventivo y correctivo debe realizarlo el equipo de soporte tecnológico de la empresa proveedora, DELL, como se especifica en el documento GI-P02-IN05 Procedimiento para solicitar soporte a DELL d. Los recursos informáticos de FEDEGÁN

FNG

FEP deben utilizarse para

actividades inherentes al negocio de la Organización y de acuerdo con los propósitos aprobados por la misma. No está prohibida su utilización esporádica a efectos personales, si bien ésta debe ser mínima, no debe afectar al trabajo y no debe contravenir los requisitos establecidos en estas normas. e. Los recursos informáticos de FEDEGAN FNG FEP, sólo deben utilizarse para fines profesionales y no para llevar a cabo actividades ofensivas o censurables. f.

FEDEGAN - FNG FEP, facilita un conjunto de equipos, programas y derechos de acceso a los recursos informáticos de la Empresa, que permiten a los empleados 17

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

18 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

y al personal contratado cumplir los objetivos propios del negocio y de su trabajo. Nadie debe aumentar, extender o modificar los derechos de acceso a cualquier recurso informático de FEDEGAN - FNG FEP sin la autorización de la Oficina de Informática y del área funcional responsable de dicho recurso. 10.2 Supervisión y control

a. FEDEGAN - FNG - FEP podrá controlar o examinar sus recursos informáticos (incluidos los computadores de escritorio y los portátiles) en cualquier momento y podrá acceder a la información almacenada en dichos recursos (sea cual fuere su fin) para leerla y utilizarla. b. FEDEGAN - FNG

FEP, podrá controlar y vigilar en cualquier momento las

comunicaciones efectuadas mediante sus recursos Informáticos. Esta norma afecta a la correspondencia por correo electrónico (profesional o privado) que podrá ser controlada durante o después de la transmisión con los límites establecidos en la legislación vigente.

10.3 Obligaciones

a. A cada empleado de FEDEGAN - FNG

FEP,

le compete salvaguardar

personalmente el acceso a los recursos informáticos de la Empresa, utilizarlos adecuadamente y garantizar que el personal contratado que dependa de él, cumpla esta norma. b. Cada empleado, o persona contratada por FEDEGAN - FNG

FEP, que conozca

cualquier transgresión de estas normas, deberá notificarla a su jefe inmediato, a la Gerencia Administrativa y Financiera o a la Secretaría General o a la Oficina de Informática. 18

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

19 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

c. Los empleados de FEDEGAN - FNG - FEP, y el personal contratado tienen la obligación de leer y cumplir esta normativa, como condición para poder utilizar los recursos informáticos de la Empresa. Además, deberán tener muy clara la misma con el fin de asegurar su total comprensión y aplicabilidad. d. La Dirección de cada área funcional corporativa tiene la obligación de garantizar la puesta en marcha y el cumplimiento de esta normativa y de informar sobre cualquier transgresión que de estas normas se produzcan, ya sea a la Gerencia Administrativa y Financiera o a la Secretaría General o a la Oficina de Informática. e. Los usuarios no deberán acceder a las páginas que proporcionen cualquiera de los siguientes recursos: - Descarga e instalación de software no licenciado en Fedegán FNG - FEP - Descarga de Fotos, música y videos - Escuchar música a través de páginas web - Servicios de Chat, Messenger - Páginas de apuestas y juegos de azar - Herramientas de red de telefonía entre pares por Internet (Skype) - Páginas pornográficas - Actividades Criminales - Descarga de fotos e imágenes de eventos sociales - Conexión a proxis anónimos - Relaciones amorosas Como información general se da a conocer a los usuarios que los Webshots (protectores de pantallas) y los Tool Bar, (Barras de herramientas) consumen recursos de máquina, degradando el correcto funcionamiento de las mismas, adicionalmente éstas permiten cargar ya que estas cargan Spams y Spyware. Hacer caso omiso de esta política compromete al usuario a responder por el software 19

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

20 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

y los posibles daños ocasionados al equipo que una mala instalación o aplicación oculta puedan causar.

10.4 Solicitudes de soporte a la Oficina de Informática - OI

Para realizar una solicitud de soporte a la Oficina de Informática -OI- se debe hacer a través de los siguientes medios: a. Herramienta Help Desk: software que permite a los funcionarios de FEDEGAN-FNGFEP, enviar peticiones de servicio al Administrador de la herramienta, así mismo permite a la oficina de informática

-OI- hacer gestión y seguimiento a los servicios

solicitados y suministrados. Para el envío de la petición, se debe tener en cuenta lo siguiente: - Seleccionar una Categoría. - Dependiendo de la Categoría seleccionada, se presentan las Subcategorías. - Seleccionar una Subcategoría. - Ingresar un Título - Describir el requerimiento, problema o falla presentada - Seleccionar la prioridad del servicio, especificando el nivel de la urgencia. - Enviar la solicitud Si necesita adjuntar algún archivo de soporte puede hacerlo, seleccionando la

Adicionalmente, puede enviar la captura de la pantalla, haciendo clic en la casilla de selección habilitada para este servicio. b. Correo electrónico: Se reciben peticiones de servicio por correo electrónico en el siguiente caso: 20

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

21 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática



No es posible solicitar soporte a través de la herramienta de mesa de ayuda Help Desk, ya sea por falla de la red interna de FEDEGAN - FNG FEP o porque no se ha instalado esta aplicación en el equipo de trabajo. En este último caso se debe informar al equipo de soporte y solicitar su instalación.

Si el usuario realiza la petición por este medio, se debe especificar el tipo de requerimiento, problema o falla. Las solicitudes deben realizarse únicamente a la siguiente dirección de correo electrónico: [email protected]

c. Soporte telefónico: Únicamente en el caso que la falla se esté presentando en el funcionamiento de la red interna de FEDEGAN - FNG - FEP que afecte la operación de un grupo de personas e impida ingresar el caso en el Help Desk o ser enviado por correo electrónico, se reciben las peticiones por teléfono a la línea del grupo de soporte cuya extensión es 1002.

10.5 Confidencialidad de la información de la Organización y trato con terceros.

Cada persona contratada por FEDEGAN-FNG-FEP, para cumplir con las tareas propias de sus obligaciones a cargo, tiene acceso a información de la Organización en diferentes formatos (escrita, digital o verbal). Ejemplos de este tipo de información son las circulares, memorandos, acuerdos, bases de datos, reportes, consultas a los sistemas de información, entre otros. Toda la información confidencial de clientes y servicios a la cual el personal tiene acceso en cumplimiento de sus funciones, debe ser administrada de modo que no sea divulgada a terceros que podrían utilizarla en beneficio propio, en contra de otras personas o de la propia Organización. 21

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

22 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

Ninguna persona podrá modificar, borrar, esconder o divulgar información en beneficio propio o de terceros.

22

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

23 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

11.

MANEJO DE CONTRASEÑAS DE RED

El concepto de la seguridad comienza desde el computador y la seguridad a nivel local es lo primero que se debe cuidar pues un 70 % de los ataques vienen por el mal manejo que le dan los usuarios a sus contraseñas. Es muy importante generar contraseñas complejas, porque constituyen la primera línea de defensa para el acceso a la información y a los recursos de la Organización, razón por la cual el correcto uso de las contraseñas generadas para los usuarios de la red y las aplicaciones son de vital importancia en la seguridad de la información de FEDEGAN-FNG-FEP.

Es importante que los usuarios tengan conciencia sobre la necesidad de observar las medidas básicas de prevención contra ataques informáticos

para que esto se

convierta en un aspecto fundamental de las actividades diarias. La oficina de informática le informará a los usuarios en el momento de instalación de su puesto de trabajo, que es conveniente que elijan claves con combinaciones de minúsculas, números, mayúsculas y caracteres especiales. El manejo de las contraseñas es responsabilidad de cada usuario, las contraseñas no son transferibles y se recomienda no tenerlas anotadas en lugares visibles.

En la administración de las contraseñas se incluyen entre otros aspectos configurar el plazo de vencimiento de las mismas. Por lo anterior, actualmente la Organización (OI) tiene las siguientes reglas para manejo de contraseñas de autenticación en la red, las cuales son de acatamiento obligatorio por parte de todos los usuarios:

a. Se solicita el cambio de contraseña cada 40 días. 23

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

24 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

b. El número mínimo de caracteres a digitar, son cuatro. c. La clave puede contener caracteres,

números o letras en mayúscula y

minúscula. d. La clave a digitar no debe corresponder a ninguna de las tres últimas utilizadas. e. Con tres intentos fallidos de la contraseña, se bloquea la cuenta de usuario y debe solicitar a la OI el desbloqueo de la misma. f. Si el usuario olvida la contraseña, debe realizar la solicitud de una nueva (contraseña) a la OI. g. Si el usuario no cambia su contraseña en

el tiempo definido por la

Organización (OI), al ingresar a su computador no se realiza el proceso de autenticación, evitando la utilización correcta de los servicios de la red.

12.

CUENTAS DE USUARIO DE RED

- Para la creación de cuentas de usuarios en FEDEGAN - FNG

FEP, se maneja como

estándar la inicial del primer nombre y seguido el apellido. Si esta combinatoria ya existiera se le agrega la inicial del segundo apellido. - Todos los usuarios que acceden a recursos informáticos de FEDEGAN - FNG

FEP,

requieren de una cuenta de usuario, la cual es estrictamente personal e intransferible. - Las cuentas para el ingreso a los sistemas y recursos computacionales son propiedad de FEDEGAN - FNG FEP y se usarán exclusivamente para actividades de la Organización. - Las cuentas de usuario no deben ser usadas para propósitos ilegales, criminales o no éticos. - El usuario es el único responsable del manejo de su cuenta y de los efectos ocasionados por la divulgación de la misma. - Se prohíbe dejar sesiones de red abiertas sin control alguno. 24

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

25 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

- El jefe inmediato debe notificar a la OI cuando un usuario deje de laborar o de tener una relación con FEDEGAN - FNG

FEP para tomar las medidas pertinentes con su

información y cuenta de acceso. - Las cuentas de usuario de red son creadas con privilegios restringidos, las cuentas de administrador solo son manejadas por el personal de la oficina de informática, sin excepción, usuarios que tenga configurados privilegios de administrador en el equipo es responsable en su totalidad de cualquier falla causada por mal uso de estos privilegios.

25

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

26 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

13.

ADMINISTRACIÓN Y GESTIÓN DE CORREO ELECTRÓNICO CORPORATIVO

La OI ha contratado el servicio de correo electrónico, ofreciendo al usuario dos formas de consulta:

- Outlook: correo POP, que se descarga al disco duro del computador del usuario que lo accede. - Correo Web: Es más usado en las regionales ya que permite al usuario la consulta por Internet.

Las consideraciones que debe tener el usuario en cuanto al manejo de correo electrónico son las siguientes:

a. El personal de FEDEGAN-FNG-FEP o cualquier unidad de negocio tiene derecho a una cuenta y correo electrónico por el tiempo de permanencia con la Organización, para uso exclusivamente laboral. b. El espacio de las cuentas es definido por el área de informática de acuerdo a los recursos disponibles y basándose en las necesidades del usuario. c. La capacidad del buzón actualmente es de 500 MB para los Directivos y 200 MB para el resto del personal. d. Es responsabilidad de cada usuario, ya sea a través de la web o del Outlook, realizar mantenimiento de su correo electrónico (copiar los mensajes al computador o eliminar los que ya no sean necesarios) y efectuar respaldos de la información ya que esto permite la liberación de espacio en el buzón de correo. e. Si el usuario requiere soporte por parte de la OI (por ejemplo, para la realización de backup del Outlook) debe solicitarlo a través de la herramienta de ayuda o por correo 26

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

27 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

electrónico. f.

Esta cuenta se creará con el estándar definido por la OI de FEDEGAN-FNG-FEP, así: inicial del primer nombre y seguido el apellido. Si esta combinatoria ya existiera se le agrega la inicial del segundo apellido más el dominio adquirido que es fedegan.org.co

g. El usuario está en la obligación de cambiar la contraseña inicial que le es entregada, así como de proporcionar a la OI un correo alterno al momento de la creación de la cuenta para ser usada como backup. h. Los usuarios son completamente responsables de todas las actividades realizadas con sus cuentas de acceso y su buzón asociado. i.

La cuenta de correo que proporciona la Organización es personal e intransferible, por lo que no debe proporcionarse a otras personas.

j.

Es responsabilidad del usuario hacer buen uso de su cuenta, por lo anterior se prohíbe lo siguiente: - Utilizar el correo electrónico para propósitos comerciales ajenos a la institución. piramidales dentro y fuera de la organización. - Distribuir de forma masiva grandes cantidades de mensajes con contenidos inapropiados para nuestra Organización que atenten contra el buen funcionamiento de los servicios en Internet. - Enviar o reenviar mensajes con contenido difamatorio, ofensivo, racista u obsceno. - Copiar ilegalmente o reenviar mensajes sin tener la autorización del remitente original para hacerlo.

27

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

28 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

- Usar seudónimos y enviar mensajes anónimos, así como aquellos que consignen títulos, cargos o funciones no oficiales. - Utilizar mecanismos y sistemas que intenten ocultar o suplantar la identidad del emisor de correo. - Enviar correos SPAM de cualquier índole. - En FEDEGAN

FNG

FEP, se consideran correos SPAM aquellos no

relacionados con las funciones específicas de los procesos de trabajo. - Intentar modificar ó modificar los sistemas y parámetros de seguridad de los sistemas de nuestra red. k. Toda información o contenido que sea transmitido por las cuentas de correo de este sitio, son responsabilidad únicamente del dueño de la cuenta, por lo que dichos contenidos no reflejan las preferencias o ideas de la organización. l.

El usuario se compromete a dar aviso a la OI de cualquier fallo de seguridad de su cuenta de correo, incluyendo su uso no autorizado, pérdida de la contraseña, etc.

m. Cambiar el password periódicamente y mantenerlo en secreto pues la clave es personal e intransferible. n. Todo uso indebido del servicio de correo electrónico, será motivo de suspensión temporal de la cuenta de correo; o según el caso, de cancelación definitiva de la misma. o. La OI, se reservará el derecho de monitorear las cuentas de usuarios, que presenten un comportamiento sospechoso para la seguridad de la red organizacional. p. El usuario es responsable de respetar la ley de derechos de autor, no abusando de este medio para distribuir de forma ilegal licencias de software o reproducir información sin conocimiento del autor.

28

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

29 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

13.1 Envíos y transferencias de archivos adjuntos

Se deben tener en cuenta los siguientes aspectos en el envío y transferencias de archivos por correo electrónico: - El tamaño de envío por cada mensaje de correo electrónico no debe exceder los 5 MB debido a las limitaciones propias de los buzones. Esto tiene efecto tanto para el envío como para la recepción e incluye archivos adjuntos. - El máximo número de destinatarios por envío de correo electrónico es de 20 personas. - Se recomienda el uso del campo CCO: para mantener la privacidad de los correos electrónicos de los destinatarios. No se deben distribuir listas de direcciones de correo personales sin expresa autorización de sus dueños. - Los correos a más de 20 destinatarios, que por necesidades específicas de un área requieran ser enviados a una parte o a toda la Organización, deben ser solicitados a través de correo electrónico a la OI; los cuales serán enviados a través de un software de envío masivo de correos electrónicos. - No se permite enviar archivos con extensión .exe, .pif, .scr, .vbs, .cmd, .com, .bat, .hta debido a que este tipo de extensiones son propensas a ser utilizadas para propagación de virus. Este tipo de archivos serán eliminados automáticamente por el sistema de correo. - Es recomendable comprimir los archivos grandes, antes de enviarlos a través de la red, para disminuir las exigencias técnicas en su transmisión y el consumo de banda ancha. - Al responder comunicados generales o para un grupo específico de usuarios, se debe tener la precaución de no responder a TODOS salvo cuando ésta sea la finalidad de la respuesta.

29

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

30 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

13.2.

Administración de usuarios de correo corporativo

El Jefe o funcionario responsable de la Oficina de Informática -OI- recibe un correo electrónico por parte de la Coordinación de Gestión Humana, quienes realizan la solicitud de ingreso, traslado y/o retiro de un funcionario de FEDEGAN, FNG, FEP o cualquier Unidad de Negocio.

El Jefe del usuario que ingresa, se traslada o se va de FEDEGAN, FNG, FEP o cualquier Unidad de Negocio; en el caso que corresponda, informa oportunamente al funcionario encargado de la OI, respecto al destino de la información existente (no en todos los casos necesariamente existe información), como mensajes del correo electrónico y/o información del computador y sobre quien asumirá el control de la misma. Lo anterior aplica únicamente si la persona se encuentra ubicada en la ciudad de Bogotá.

En el caso que un jefe de área realice la solicitud; el funcionario de la OI, procede a pasar la información al equipo definido (por el jefe) y si éste lo requiere, el funcionario de la OI, realiza el backup de la información, para lo cual se debe diligenciar y firmar el formato de revisión de equipos de cómputo (GI-P02-FR01).

1 En caso de ingreso de un nuevo usuario en la ciudad de Bogotá, el funcionario encargado de la OI crea la cuenta de correo electrónico y una clave aleatoria que debe ser cambiada por la persona a quien se asigna (usuario final). Esta modificación de la contraseña la debe realizar el usuario final al momento en que el funcionario de la OI configure la cuenta en el Outlook. En el caso que el usuario final lo requiera, puede acceder al correo electrónico a través de internet y la clave a utilizar es la misma configurada en el Outlook. 30

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

31 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

Si la persona que ingresa va a laborar fuera de Bogotá, el funcionario de la OI debe crear la cuenta de correo electrónico y una clave aleatoria que debe ser cambiada en el primer inicio de la sesión. Estos datos (usuario y contraseña para acceso al correo electrónico corporativo) son enviados al jefe inmediato así como el enlace para acceder al correo a través internet. Si el usuario quiere operar su correo electrónico a través de Outlook, debe contactarse con el área de soporte de la OI quienes le guiarán en la configuración de la cuenta. Adicionalmente, el funcionario de la OI, verifica que las actividades realizadas, cumplan con las necesidades del usuario final, conforme al requerimiento solicitado.

2 En caso que un funcionario se retire de FEDEGAN, FNG, FEP o cualquier Unidad de Negocio, debe presentar al jefe o funcionario encargado de la OI, un certificado de paz y salvo emitido por la Coordinación de Gestión Humana, que contenga como ítem la eliminación de la cuenta de correo electrónico. Realizada la solicitud, ya sea a través de correo electrónico o mediante el paz y salvo, el funcionario encargado de la OI procede a eliminar la cuenta de correo electrónico; salvo solicitud por parte del área de Gestión Humana, quienes en algunas oportunidades solicitan un tiempo de holgura para realizar la posterior eliminación de la cuenta.

14.

PLATAFORMA DE INTERNET

El uso de Internet se concede al personal como una herramienta que colabora y apoya en la realización de las tareas, por lo tanto cada usuario debe darle un uso apropiado a este servicio estrictamente relacionado con las labores que desempeña en la Organización. Cualquier uso para otros propósitos no es aceptable. El usuario deberá considerar las 31

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

32 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

medidas de racionalidad y seguridad que garanticen que su trabajo se llevará a cabo de una manera eficiente y productiva.

El servicio de Internet no debe de ser usado para fines personales, y por lo mismo queda estrictamente prohibido realizar descargas de software e información que no estén destinados u orientados al cumplimiento de las labores organizacionales; ya que éstas pueden contener virus, spyware y otro tipo de aplicaciones, las cuales adicionalmente reducen el rendimiento de los aplicativos y servicio de Internet.

Por lo anterior, se establecen los lineamientos de acceso y uso del servicio de internet, así:

Actualmente FEDEGAN-FNG-FEP cuenta con tres canales de internet, para redundancia entre sí mismos que permiten asegurar al usuario un servicio constante y oportuno del mismo. Los operadores de internet son: Telefónica Movistar y Claro; con anchos de banda de 20 Mb respectivamente, para un total de 60 Mb.

Es responsabilidad del usuario hacer buen uso del internet, por lo anterior se prohíbe lo siguiente (excepto algunos permisos solicitados por los jefes de área)

1.

El acceso a páginas de contenido ilícito o que atenten contra la dignidad humana: aquellas que realizan apología del terrorismo, páginas con contenido xenófobo, racista, o antisemita, etc.

2.

La participación en foros o chats de discusión.

3.

La descarga de ficheros, programas o documentos que contravengan las normas de la organización sobre instalación de software y propiedad intelectual. Ningún usuario está autorizado para instalar software en su computador. El usuario que 32

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

33 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

necesite algún programa específico para desarrollar su actividad laboral, deberá comunicarlo a la oficina de informática, quienes se encargarán de realizar las operaciones oportunas. 4.

El acceso a páginas de pornografía.

5.

El acceso a páginas de radio o TV en línea, así como descargar archivos de música o videos.

6.

Bajar e instalar, desde cualquier sitio de Internet, programas de cómputo no autorizados por la Oficina de Informática.

7.

Cualquier uso con fines comerciales, políticos, particulares o cualquier otro que no sea con fines institucionales.

Adicionalmente se debe tener en cuenta lo siguiente:

8.

Los servicios bancarios y servicios personales que se ofrecen vía Internet, deberán ser utilizados en forma mesurada.

9.

La Oficina de Informática establecerá filtros y medidas para regular el acceso a contenidos por internet, de acuerdo a las directrices establecidas para el buen uso de esta herramienta; si un usuario por sus actividades laborales debe tener acceso sin restricción a internet, deberá ser enviado una solicitud de soporte por el jefe inmediato, indicando puntualmente las páginas a las cuales se deberá habilitar el acceso al usuario.

10.

La Oficina de Informática se reservará el derecho de monitorear las cuentas de usuarios que presenten un comportamiento sospechoso para la seguridad y optimización de trabajos de la Organización.

33

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

34 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

15.

PLATAFORMA DE ANTIVIRUS

FEDEGAN-FNG-FEP cuenta con la suite de antivirus de TrendMicro.

La OI cuenta una suite de antivirus; para 300 clientes, la cual está implementada en cada uno de los computadores que hacen parte de la red de FEDEGAN-FNG-FEP en Bogotá.

El antivirus, controla todo los dispositivos de almacenamiento conectados al equipo, por lo mismo la plataforma está configurada para que tan pronto se conecten, sea revisado el contenido y eliminados aquellos malwares detectados.

Para los equipos ubicados fuera de Bogotá en el momento de la configuración, se les instala un antivirus gratis que se actualiza automáticamente en forma permanente a través de internet. Para la actualización de este, una vez recibida la comunicación donde informan que ha caducado, se les envía el enlace para que descarguen nuevamente la versión y realicen la instalación. Para la implantación de un sistema de protección de virus, anti-spams, anti-spywares, entre otros, el antivirus TrendMicro, tiene en cuenta el entorno y la facilidad como debe interactuar con el sistema y a la vez con el usuario, posibilitando actualizaciones remotas, detección anti-spyware, filtrado de contenidos y otras ventajas como es seguridad en los mails que se manejan sobre la herramienta MS Outlook.

15.1. Inicio y desarrollo

34

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

35 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

Es política de la oficina de informática, cada año realizar un piloto con los dos o tres productos de antivirus más reconocidos en el mercado actual por su eficiencia y su eficacia, creando así las estadísticas de información necesarias para la toma de decisiones correctas. Con el análisis y los resultados obtenidos (por ejemplo, poca utilización de recursos de máquina, amigabilidad, usabilidad, eficiencia, desempeño, etc) se determina la decisión de su implantación en todos los equipos de la Organización en Bogotá. Dentro de la consola principal del antivirus, se tiene en cuenta la facilidad de uso tanto para el administrador como para la instalación del cliente en cada máquina, así como la generación de alertas de infección para los equipos de escritorio y portátiles; éstos últimos (portátiles) cuentan con el manejo de roaming, permitiendo que la actualización y detección de virus se haga a través de internet. El uso adecuado del antivirus hace que esta herramienta de protección arroje resultados positivos, así mismo la revisión constante de los LOGS que genera el sistema son de gran ayuda, ya que permiten conocer patrones de conducta y posibles focos de infección.

15.2. Características del antivirus

- Capacidad de detección y de reacción ante nuevos malwares. - Detección mínima de falsos positivos o falsos malwares. - Buen rendimiento y desempeño normal de los equipos. - Alerta sobre una posible infección por las distintas vías de entrada (Internet, correo electrónico, red o discos flexibles). - Gran capacidad de desinfección. - Presencia de distintos métodos de detección y análisis. 35

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

36 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

- Chequeo del arranque y posibles cambios en el registro de las aplicaciones. - Integración perfecta con el programa de correo electrónico. - Disposición de un equipo de soporte técnico capaz de responder en un tiempo mínimo.

A pesar de que FEDEGAN-FNG-FEP, no maneja el correo internamente sino a través de un operador externo (Telefónica Movistar), son éstos quienes nos garantizan un determinado nivel de seguridad en la revisión de paquetes que se transmiten en los e-mails y en acompañamiento a esta labor, la Oficina de Informática, interviene con la suite de antivirus y con el firewall.

15.3. Componentes del antivirus

Actualmente se tiene instalado Trendmicro Antivirus a nivel Bogotá, el cual cuenta con los siguientes componentes: - Clientes para computadores de escritorio y portátiles. - Server Antivirus/Desktop - Server Web Reputation and Anti-spyware - File Reputation - Firewall - Damage Cleanup Services

La actualización de los paquetes de los patrones se realiza automáticamente, descargándose al servidor y luego lo comparte a cada uno de los clientes que están 36

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

37 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

conectados. En caso de no estarlo y poseer el modo roaming la descarga se hará directamente desde el website de Trendmicro. Para el nivel nacional (regiones), cuenta con el antivirus Forticlient de la fábrica Endpoint Check Point, dicha herramienta cuenta con los servicios tales como: - Antivirus - Antispam - Antispyware - Firewall - Filtro de contenido - Protec - Detección de aplicaciones - La actualización de los patrones, se hacen automáticamente. El uso de estas dos herramientas en FEDEGAN-FNG-FEP, cumple con un adecuado funcionamiento ya que brinda protección a la información, a los equipos de cómputo, medios extraíbles USB, unidades iPod o dispositivos Bluetooth evitando siempre que no se introduzcan archivos no deseados o dañinos, y reduciendo el riesgo de pérdida de datos.

16.

SEGURIDAD PERIMETRAL

1. En FEDEGAN-FNG-FEP se cuenta con un equipo de seguridad perimetral a través del cual se crean reglas y permisos que: - Habilitan o bloquean a los usuarios de la Organización para ingresar a páginas de internet determinadas. - Administra el ancho de banda por grupo de usuarios. 37

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

38 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

- Monitorear los canales de internet. - Monitorear segmentaciones en la red. - Apertura y cierre de puertos. 2. La Oficina de Informática deberá proveer de la infraestructura de seguridad requerida a todas las áreas de la Organización. 3. Todo el equipo de cómputo que esté o sea conectado a la Red, o aquellas que en forma autónoma se tengan y que sean propiedad de la Organización, deben sujetarse a las políticas definidas por la Oficina de Informática. 4. La Oficina de Informática es la responsable de proporcionar el servicio de acceso remoto a los recursos informáticos disponibles.

17.

CONTROL DEL SOFTWARE

1. Corresponde a la Oficina de Informática controlar la instalación y supervisión del software básico para cualquier tipo de equipo. 2. En los equipos de cómputo, de telecomunicaciones y en dispositivos basados en sistemas de cómputo, únicamente se permitirá la instalación de software con licenciamiento apropiado y de acorde a la propiedad intelectual. 3. La Oficina de Informática es la responsable de brindar asesoría y supervisión para la instalación de software informático. 4. La instalación de software que desde el punto de vista de la Oficina de Informática pudiera poner en riesgo los recursos de la Organización o no se tuviera la correspondiente licencia no está permitida. 5. Con el propósito de proteger la integridad de los sistemas informáticos y de telecomunicaciones, es imprescindible que todos y cada uno de los equipos

38

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

39 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

involucrados dispongan de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se apliquen). 6. Los equipos se entregan sin posibilidad de instalar software adicional.

17.1. Actualizaciones de Windows Update

La Oficina de Informática instaló un utilitario de Microsoft Windows la cual permite la actualización diaria de los parches de seguridad generados, en cada uno de los equipos de la Organización. Las vulnerabilidades que se detectan en los programas informáticos más utilizados (navegadores de Internet, procesadores de texto, programas de correo, etc.) suelen ser, precisamente por su gran difusión, un blanco habitual de los creadores de malwares. Para evitarlo, una vez detectada una vulnerabilidad, las compañías fabricantes de software ponen rápidamente a disposición de sus clientes actualizaciones,

18.

CENTRO DE CÓMPUTO

Los ingenieros de la OI, encargados del centro de cómputo, cada vez que se requiera deben:

- Instalar parches y services packs existentes en aplicaciones y sistemas operativos. - Asegurarse que los enrutadores y otros dispositivos programables de red tengan una buena configuración y mantenimiento. - Velar por el correcto funcionamiento del equipo de seguridad perimetral existente entre los proveedores de internet y la Organización. 39

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

40 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

- No tener copias ilegales o piratas de software. - Asegurarse de minimizar la posibilidad de transmisión de malwares al realizar conexiones remotas o de redes. - Verificar la actualización automática en el servidor de antivirus.

18.1. Acceso al centro de cómputo

- El acceso al centro de cómputo es restringido, sólo está permitido para el Jefe de la Oficina de

, ingenieros de la OI o proveedores de servicios en

tecnologías de información y comunicaciones. - Las visitas solamente pueden ingresar al centro de cómputo, si se encuentran acompañadas mínimo por un ingeniero de la Oficina de Informática, y habiendo solicitado previamente el permiso de acceso a los administradores, existiendo una razón suficiente que amerite el acceso a las mismas.

18.2. Administradores del centro de cómputo

- La Oficina de Informática cuenta con un registro de equipos que contiene: placa de inventario, funcionario, marca del equipo y software instalado, suministrado por el área de Almacén de la Organización. - La Oficina de Informática lleva un control de los equipos instalados en el centro de cómputo y en los centros de cableado de las diferentes sedes de FEDEGANFNG-FEP.

40

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

41 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

- La Oficina de Informática con el equipo de seguridad perimetral garantiza las medidas de seguridad contra la intrusión o daños a la información almacenada en los servidores. - Los ingenieros encargados del centro de cómputo, deben realizar los backups de la información de los servidores, verificando que se hayan efectuado correctamente. - La Oficina de Informática debe monitorear constantemente el tráfico de paquetes sobre la red a fin de determinar y solucionar anomalías, usos indebidos o cualquier falla que provoque problemas de comunicación. - Los ingenieros asignados en la OI, son los encargados de instalar software y programar el mantenimiento preventivo y correctivo de los servidores y elementos activos de la red ubicados en los centros de cómputo y de cableado de FEDEGAN-FNG-FEP.

19.

DISPOSITIVOS DE ALMACENAMIENTO

La información constituye uno de los principales activos de FEDEGAN-FNG-FEP, por tanto el manejo adecuado de la misma es responsabilidad de todos los funcionarios así como la correcta utilización de los dispositivos que el mercado ofrece para la administración y respaldo información.

Por lo tanto todos los usuarios de tecnologías de información que manipulen dispositivos como: memorias USB, CD, DVD, discos duros externos, entre otros, deben utilizarlos considerando la importancia de la información que contienen, buscando mecanismos seguros para su almacenamiento o distribución. 41

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

42 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

20.

LICENCIAMIENTO DE SOFTWARE

En los archivos adjuntos Relación de Licencias v 1.0. xls, se encuentran detallados tanto las licencias adquiridas por FEDEAN FNG FEP.

21.

PLAN DE CONTINGENCIAS DE LOS SISTEMAS DE INFORMACION Y DE COMUNICACIONES.

INTRODUCCION Los Sistemas de Información y comunicación existentes y los que se implementarán a futuro a través de la Oficina de Informática, significan para la Organización un importante avance en materia de modernización de los servicios ofrecidos al sector ganadero y a las áreas internas de FEDEGAN-F.N.G-FEP. Los Sistemas de Información tienen muchas cosas en común. La mayoría de ellos están formados por personas, equipos, procedimientos, programas, bases de datos y redes. Al conjugar una serie de elementos como hombres y computadores se hace imprescindible tomar medidas que garanticen una continuidad en la operatividad de estos sistemas, para no ver afectados los objetivos de las mismas y no perder la inversión de costos y tiempos. En el Plan de Contingencias se identifican los riesgos a los que están expuestos los sistemas y se precisan las medidas de previsión para minimizarlos, así como los requerimientos inmediatos para atenderlos cuando se produzcan.

42

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

43 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

OBJETIVOS Definir y programar la implementación de las medidas de seguridad que garanticen el funcionamiento continúo de los sistemas de información y de comunicaciones de FEDEGAN-F.N.G-FEP, minimizando los riesgos de indisponibilidad de las Tecnologías de Información y Comunicaciones - TIC´s - y reduciendo el tiempo de recuperación de las mismas, una vez haya ocurrido una falla. Restaurar los sistemas en forma eficiente y con el menor costo y pérdidas posibles, en caso se produzca un incidente. Para estos imprevistos se incluyen las medidas de previsión.

FINALIDAD Disponer de un plan que permita atender de manera ordenada y prevista situaciones que pongan en riesgo la operatividad de los sistemas de información y de comunicaciones y los servicios apoyados en Tecnologías de Información y Comunicaciones - TIC´s

de

FEDEGAN-F.N.G-FEP, estableciendo procedimientos que eviten interrupciones en su operación.

ALCANCE La presente Directiva es de observancia y estricto cumplimiento de todo el personal de FEDEGAN-F.N.G-FEP, sea cual fuere su régimen laboral.

VIGENCIA El presente plan entrará en vigencia a partir de la fecha de su aprobación y comunicación por parte del jefe de la oficina de informática.

43

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

44 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

DETERMINACION DE RIESGOS Los sistemas electrónicos están expuestos a distintas clases de riesgos, que pueden afectar su normal funcionamiento, por lo que los problemas potenciales se han clasificado en grupos que se detallan a continuación: - Factores Naturales y/o Artificiales Son originados por causas externas a la Organización y cuyo grado de previsión es muy reducido. Se consideran dentro de este grupo a los factores naturales como terremotos, maremotos, entre otros similares;

artificiales

como incendios,

inundaciones, robos y problemas de terrorismo. Estos percances pueden generar pérdidas o daños físicos (equipos, mobiliario, inclusive recursos humanos).

- Factores de Servicios Los riesgos identificados en este grupo pueden generar la interrupción del procesamiento de la información en línea, lo que afectaría seriamente la atención al público; por ejemplo: o Caídas en los circuitos dedicados de comunicaciones. o Corte de energía eléctrica. - Factores de Sistemas Estos riesgos están asociados con el funcionamiento de los equipos, cuyo deterioro o mal uso puede implicar lo siguiente: o Daños en componentes de hardware (discos duros, adaptadores de red, etc.). o Fallas en dispositivos de comunicaciones (switches, routers). o Fallas en los equipos de cómputo e impresoras de las áreas usuarias. 44

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

45 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

o Daños graves en los archivos del sistema por errores de hardware o software. Software corrupto o incompatible (copia sin licencia). o Malwares que dañen los archivos y hasta los equipos de cómputo.

- Factores de Recursos Humanos Están relacionados con la ausencia o presencia insuficiente de las personas en el mantenimiento de las aplicaciones. Podrían causar demoras en atención de desperfectos; daños a archivos, equipos y otros dispositivos que requieren personal entrenado para su operación. Estos riesgos pueden estar motivados por: o Administradores no capacitados. o Acceso de personas no autorizadas al centro de cómputo.

- Factores Diversos Se incluyen en esta clasificación otros riesgos que no se encuentren comprendidos en las clasificaciones anteriores. Por ejemplo: o Derrame de líquidos en los equipos.

MEDIDAS DE CONTINGENCIA A continuación se detallan las medidas que deberán ser aplicadas para minimizar los riesgos de interrupción de los sistemas electrónicos. Adicionalmente, se explican los impactos de los riesgos, así como su probabilidad de ocurrencia, de acuerdo a las cinco categorías siguientes: Muy Alta Alta Mediana

45

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

46 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

Baja Muy Baja Se detallan los riesgos clasificados en las categorías antes especificadas: Factores Naturales y/o Artificiales: Riesgo

Desastres naturales (terremotos, maremotos, etc) y/o artificiales (incendio, inundación, terrorismo, robo, vandalismo, etc.)

Probabilidad de Mediana Ocurrencia Efecto

- Posible

deterioro/inutilización

de las instalaciones de

FEDEGAN-F.N.G.-FEP - En casos muy graves, inutilización total de servidores de aplicación y equipos de comunicación. - Incapacidad temporal para utilizar sistemas electrónicos, servidores y equipos Medidas Previsión

de - Entrenamiento del personal para asumir funciones alternas en caso de desastre. - Sistemas de detección y extinción de fuego (alarma de humo, y extinguidores). - Mobiliario especial (racks) para los equipos críticos (servidores, equipos de comunicaciones). - Mantener contacto con proveedores y/o instituciones que provean equipos de características similares a los de FEDEGANF.N.G.-FEP, con capacidad de alquiler o préstamo en caso de quedar inutilizada totalmente la capacidad operativa.

46

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

47 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

- Mantener contacto con operadores tele-informáticos que provean espacios adecuados (ambientalmente, eléctricamente y en seguridad) para el eventual traslado de servidores a sus datacenter. - Retiro o reemplazo de todo tipo de objetos que en caso de incendio puedan ayudar a la expansión del fuego - Revisión continúa del estado de la cablería de energía eléctrica. - En lo posible, los tomacorrientes deben ser instalados a un nivel razonable de altura. - Para prevenir los corto circuitos, asegurarse de que no existan fuentes de líquidos cerca de las conexiones eléctricas. - El centro de cómputo, debe contar con una caja principal de alimentación eléctrica. - Prohibición total de fumar en el área sensible. - Contar con vigilancia privada las 24 horas al día en las instalaciones de FEDEGAN-F.N.G.-FEP Acciones de Recuperación

- En ese momento cualquiera sean los procesos que se estén ejecutando se deberá enviar un mensaje (si el tiempo y las circunstancias lo permiten) de "Salir de Red y Apagar Computador". - Seguidamente apagar los servidores (si el tiempo y las circunstancias lo permiten). - Proveer cubiertas protectoras para cuando el equipo esté apagado.

47

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

48 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

- Se apagará (poner en OFF) la caja principal de corriente del centro de cómputo. - Si se trata de un incendio de mediana magnitud, se debe tratar en lo posible de trasladar el servidor fuera del local. - Lograr la puesta en operación de un servidor temporal en un datacenter de un operador tele-informático. - Lograr la recuperación de aplicaciones y bases de datos y puesta en operación de los sistemas.

Factores de Servicios Riesgo

Corte Prolongado de la energía eléctrica

Probabilidad de Mediana Ocurrencia Efecto

- Paralización total de las actividades de FEDEGAN-F.N.G.-FEP. - Servicio restringido, se mantendría la operatividad con equipamiento mínimo.

Medidas

de - Contar con un grupo electrógeno capaz de suministrar energía

Previsión

a todos los equipos involucrados (UPS, planta eléctrica). - Otorgar mantenimiento preventivo mensual de todo el equipo relacionado.

Acciones recuperación

de - Poner en funcionamiento una fuente de energía alternativa para la alimentación de equipos del cuarto de servidores. - Distribuir la energía eléctrica que provee el grupo electrógeno por áreas, de acuerdo a lo crítico de su actividad.

48

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

49 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

Riesgo

Caídas de los servicios externos de comunicación de datos, correo electrónico e internet.

Probabilidad de Mediana Ocurrencia Efecto

- Se produciría

una

paralización de los servicios de

telecomunicaciones. Medidas

de - Interrupción del servicio de correo electrónico.

Previsión

- Imposibilidad de acceso a internet.

Acciones

de - Contar con un servicio de backup.

recuperación

- Realizar los procedimientos establecidos para verificar si el corte es producido por la empresa de telecomunicaciones o fallas en los equipos de comunicaciones. - Coordinar con la empresa de telecomunicaciones la reposición del servicio o enmendar la falla del equipo de comunicaciones.

Factores de Sistemas Riesgo

Falla en componentes de la red de comunicación de datos

Probabilidad de Mediana Ocurrencia Efecto

- Fallas en switches principales paralizarían la red totalmente, hasta su remplazo. - Fallas en las controladoras de redes de computadores é impresoras paralizarían el trabajo de la estación de la controladora de red afectada, hasta su remplazo (hardware).

49

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

50 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

Medidas

de - Contar con mantenimiento preventivo para equipos de

Previsión

comunicaciones. Se deberá estar en capacidad de remplazar temporalmente un dispositivo afectado hasta su reparación. - Mantener un servicio apropiado de suministro de soporte y equipos de comunicación que garanticen el arreglo y/o remplazo inmediato de los equipos y/o servicios afectados. - Mantenimiento periódico del circuito de toma a tierra. - Contar con un UPS para los equipos de comunicaciones. - Contar con un proveedor de servicios de mantenimiento y soporte de sistemas de comunicación.

Riesgo

Desperfectos en computadores, impresoras y otros dispositivos de procesamiento de datos de las áreas usuarias.

Probabilidad de Mediana Ocurrencia Efecto

- Imposibilidad de disponer de información en forma oportuna.

Medidas

de - Se deberá contar con mantenimiento preventivo y correctivo

Previsión

para los equipos de cómputo (por la misma Organización u outsorcing). - Se deberá estar en capacidad de reemplazar temporalmente el equipo averiado hasta su reparación. - Las áreas usuarias deberán respetar estrictamente el calendario de mantenimiento preventivo, lo cual servirá para evaluar el estado de los dispositivos.

50

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

51 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

- Durante el mantenimiento, se contará con presencia del personal de la oficina de informática, para el asesoramiento respectivo.

Riesgo

Fallas en los servidores

Probabilidad de Baja Ocurrencia Efecto

- Paralización de atención a usuarios internos y externos, que utilicen las aplicaciones de los servidores.

Medidas Previsión

de - Contar con mantenimiento de hardware y software tanto preventivo como correctivo (preferentemente outsorcing). - El proveedor del servicio de mantenimiento deberá estar en la capacidad de tener un tiempo de respuesta máximo de 1 hora, producida la llamada de reporte de falla - El proveedor deberá tener un tiempo máximo de reparación de 5 horas, en caso de excederse deberá reemplazar el equipo afectado por otro, con las condiciones mínimas para mantener la operatividad. - Los servidores contarán con UPS con una autonomía de 2 horas, lo que protegerá de fallas producidas por anormalidades en la provisión de energía eléctrica. - Contar con una política de backup para recuperar la información, de ser el caso.

51

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

52 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

- Contar con plataforma de servidores que posean redundancia en fuentes de alimentación eléctrica, procesadores, memorias, puertos de red.

Riesgo

Daños en los archivos de los sistemas electrónicos producidos por fallas de hardware

Probabilidad de Mediana Ocurrencia Efecto

- La pérdida total o parcial de datos ocasionaría problemas en la atención en línea y en la disponibilidad de la información. - Paralización temporal en la atención de usuarios internos y externos.

Medidas

de - Contar con una política de respaldo de información y aplicarla

Previsión

teniendo en consideración el volumen de ésta, frecuencia de actualización, frecuencia de consulta, usuarios. - Realizar mantenimiento periódico a los dispositivos para las copias de seguridad, reemplazando las unidades defectuosas. - Almacenar los cartuchos de backup en un lugar que reúna las condiciones mínimas para su conservación - Contar con almacenamiento externo para copias de seguridad. - Tener asignados los responsables de aplicar las políticas de backup de información.

Riesgo

Daños en los archivos por virus informáticos

52

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

53 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

Probabilidad de Alta Ocurrencia Efecto

- Paralización de los servidores y computadores al atacar el virus al sistema operativo. - Destrucción y alteración de archivos causando paralización temporal de las actividades.

Medidas Previsión

de - Restringir el uso libre de CDs y dispositivos USB, al ser los principales medios de contaminación. - Contar con Software Antivirus (apropiado, robusto y permanentemente actualizado) instalando en cada servidor de aplicación y computador. - Contar con una política de actualización continua de Antivirus. - Tener como norma la revisión con Software Antivirus de todos los archivos provenientes desde el exterior de FEDEGAN-FNGFEP, vía CD, dispositivo USB, correo electrónico, internet, etc.

Factores de Recursos Humanos Riesgo

Ausencia de personal

Probabilidad de Mediana Ocurrencia Efecto

- En el caso que el personal encargado del adecuado funcionamiento del sistema no pudiera presentarse a laborar, se podría ver afectada la operatividad del mismo y no se daría una adecuada atención a los usuarios.

53

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

54 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

- El manejo de los sistemas por personal no capacitado podría causar daños a los archivos, equipos y otros dispositivos que requieren entrenamiento para su operación. Medidas

de - Implementación de manuales de operaciones y procedimientos

Previsión

en los que se señalen claramente todas las labores diarias que se llevan a cabo por cada proceso operativo del sistema. - Aplicación de políticas de rotación para que cada persona esté familiarizada con las distintas labores que se llevan a cabo en cada área. - Contar con el número adecuado de personal encargado del funcionamiento del sistema (de tal manera que si una persona no se presenta, las labores no se verían afectadas en alto grado). - Contar con personal backup temporal. - El personal a contratarse, así como el personal practicante, deberá en lo posible tener disponibilidad para presentarse al centro de trabajo fuera del horario establecido como laborable, en caso sea necesario. - Tener implementados mecanismos que garanticen el tiempo de empalme necesario

Riesgo

Acceso de personas no autorizadas a los sistemas implementados

Probabilidad de Mediana Ocurrencia Efecto

- La manipulación del sistema por personas no autorizadas puede generar graves problemas, desde causar desperfectos en

54

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

55 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

el funcionamiento hasta incluir modificaciones erróneas no deseadas en los mismos. Medidas

de - Cuando un empleado renuncie o salga de vacaciones, su clave

Previsión

de acceso deberá ser desactivada del sistema para evitar que en su ausencia otra persona pueda acceder al mismo y manipular los dispositivos. - Toda modificación de la estructura de la información en las bases de datos deberá ser autorizada por el jefe de la Oficina de Informática. - El uso de passwords personales para la operación de los sistemas será responsabilidad y uso exclusivo del dueño del password, puesto que cada acceso será grabado en un log. - Política mensual de expiración de password a usuario. - Se recomienda que todo password tenga una longitud mínima de seis caracteres alfanuméricos. - El acceso al centro de cómputo de FEDEGAN-FNG-FEP, debe estar restringido sólo al personal autorizado por el Jefe de la oficina de informática. - Todo responsable de la dirección de un área, deberá informar a la oficina de gestión humana sobre la situación de retiros temporales ó definitivos de personas en la Organización, para que informen a la oficina de informática y así eliminar las cuentas de usuario y correos respectivos.

55

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

56 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

REFERENCIAS

http://telematica.cicese.mx/seguridad/poli-segu.pdf http://www.ongei.gob.pe/seguridad/seguridad2_archivos/Lib5122/Libro.pdf http://www.nalejandria.com/00/colab/politicas.htm http://www.muniproviru.gob.pe/normas/directivas/d001_2009.pdf http://www.criptored.upm.es/guiateoria/gt_m142a.htm 56

Código:

GI-P02-IN02

Versión:

2.0

Fecha Aprobación:

08/04/2014

Páginas:

57 de 57

Nombre de la actividad: Procedimiento Gestión Tecnológica

Nombre del documento: Política de Seguridad Informática

http://www.iec.csic.es/criptonomicon/seguridad/servicio.html http://iie.fing.edu.uy/ense/asign/admunix/seguridad.htm http://www.ccss.sa.cr/html/organizacion/gestion/gerencias/g_infraestructura/proyectos /Ejecucion/Politicas_Seguridad_Informatica_Versionoctubre_20072.pdf http://es.wikipedia.org/wiki/Wikipedia:Portada

57