Mps de la informacion

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN

DOCUMENTADO POR: ELABORADO POR: REVISADO POR: APROBACIÓN DIRECTIVA:

Diseñadores de Proyecto


Profesor Académico /

Dirección de Telecomunicaciones

FECHA N° RESOLUCIÓN

Nº PAG








Nº PAG

ELABORADO POR:

KARLING GRANADO

DAMELIS ARCINIEGAS

JOAN GONZÁLEZ

JOEL HERNÁNDEZ

JOSE QUIJIJE

ROGER MENDEZ

Caracas, Mayo 2010








Nº PAG

ÍNDICE

ÍNDICE .............................................................................................................. 2

INTRODUCCIÓN .............................................................................................. 2

OBJETIVO ........................................................................................................ 3

ALCANCE ........................................................................................................ 3

RESPONSABILIDADES ................................................................................... 3

SEGURIDAD DE LA INFORMACIÓN Y MANTENIMIENTO DE LOS SISTEMAS ....................................................................................................... 4

NORMAS DE USO ........................................................................................... 6

USO DE LOS EQUIPOS ................................................................................... 6

LOS USUARIOS NO DEBEN ........................................................................... 7

USO DEL CORREO ELECTRÓNICO INSTITUCIONAL .................................. 8

DE LAS CUENTAS DE USUARIOS Y USUARIAS ........................................ 10

DEL ACCESO A INTERNET .......................................................................... 11

DE LOS EQUIPOS INFORMÁTICOS Y DE TELECOMUNICACIONES ......... 12

DE LOS RESPALDOS ................................................................................... 14

DEL ACCESO AL ÁREA DE INFORMÁTICA ................................................ 15

DE LA INSTALACIÓN DE LOS PROGRAMAS INFORMÁTICOS. ................ 18

PARA PRESTAR SERVICIO TÉCNICO ......................................................... 19

RESGUARDO DE LA INTEGRIDAD DE LA INFORMACIÓN ........................ 20

DE LAS SANCIONES ..................................................................................... 20








Nº PAG

INTRODUCCIÓN

La Seguridad Informática, generalmente consiste en asegurar que los

recursos del sistema de información (Material Informático o programas) de una

organización sean utilizados de la manera que se decidió y para lo cual fue

adquirida.

En toda institución u organización, el manejo de la seguridad es un tema

muy complejo y muchas veces difícil de realizar, ya que se deben conjugar dos

entornos difíciles como son el humano y el informático, es por ello que es

necesario establecer documentos que establezcan reglas que sirvan de

mecanismos reguladores.

Este manual de políticas y seguridad se realiza con la finalidad de

establecer las reglas, normas, controles procedimientos que regulen la forma

en que la institución prevenga y sobre todo proteja los riesgos de seguridad

que se puedan presentar.








Nº PAG

OBJETIVO

Transmitir a todo el personal, las reglas, normas, controles y

procedimientos que regulen la forma en que la institución previene los riesgos

de seguridad que se puedan presentar y de esta manera proteger los equipos

tecnológicos, aplicaciones, (hardware y software), y la información que es

procesada y almacenada en los mismos en todas las áreas de la Institución.

ALCANCE

Aplica a todos los procesos y actividades llevados a cabo en las

operaciones de Tecnología y sus interrelaciones internas y externas.

RESPONSABILIDADES

Los entes y empleados involucrados en este procedimiento son

responsables de dar cumplimiento a lo descrito en el mismo.








Nº PAG

SEGURIDAD DE LA INFORMACIÓN Y MANTENIMIENTO DE LOS SISTEMAS

Los empleados, están en la obligación de cumplir las Normas

establecidas en este documento, sobre el Uso de los Equipos y Servicios que

ofrece la Red; su incumplimiento, será sancionado de acuerdo a lo establecido

en la Institución.

Los Directores o Coordinadores de cada área de la Institución tienen la

responsabilidad de asegurar y garantizar el cumplimiento de las normas

establecidas, para lo cual solicitarán el apoyo de la Dirección de Informática en

la detección de irregularidades.

La mudanza o traslado de las partes o piezas de los equipos de

computación, tales como CPU, monitores, teclados, ratón (mouse), impresoras

y otros accesorios, corresponden a la Dirección de Informática, Dependencia

a quien debe ser solicitada a través de sus procedimientos internos. De igual

forma, la Dirección de Informática supervisa y asesora la ejecución de los

traslados de las áreas involucradas, a fin de garantizar las condiciones

mínimas de seguridad para los equipos.

La elaboración del cableado de la red es responsabilidad del área de

Telecomunicaciones, dependencia a quien debe ser solicitada a través de sus

procedimientos internos.








Nº PAG

De igual forma, la Dirección de Informática supervisa y asesora la

ejecución para la conexión de los equipos.

La Dirección de Informática tiene entre sus funciones el monitoreo de los

servicios y equipos que conforman la red (Servidores, Laptos, Desktop, Correo,

salida Internet, impresión, compartición de archivos), controlar el uso y acceso

a dichos servicios y detectar, reportar y corregir cualquier abuso, acceso no

autorizado o violación a las normas establecidas por la Institución. Este

monitoreo consiste en la aplicación de auditorías periódicas, y que pueden

contemplar grupos aleatorios de estaciones de trabajo o a toda la red LAN /

WAN.

El personal profesional, técnico y administrativo de la Dirección de

Informática debe vigilar el cumplimiento de las Normas en todas las

dependencias y Direcciones reportando cualquier irregularidad que detecte.








Nº PAG

NORMAS DE USO

USO DE LOS EQUIPOS

Corresponderá a Dirección de Informática, la instalación de los equipos

en lugares con condiciones ambientales adecuadas, es decir,

temperaturas bajas, buena iluminación, libre de humedad (sin goteras o

filtraciones, etc.), al mismo tiempo el usuario velará por mantener dichas

condiciones. En caso de surgir algún problema que impida tener las

condiciones exigidas, la Dirección de Informática hará las

recomendaciones necesarias al usuario para su adecuación.

Cada Dirección o Coordinación garantiza que las mesas o estantes a

ser utilizadas para la colocación de los equipos (computadores

personales, impresoras, fotocopiadoras, etc.), se encuentren en buenas

condiciones. En caso de no poseer dichos muebles estos deben ser

solicitados al departamento de compras, previa especificación técnica de

la Dirección de Informática, sobre los requerimientos necesarios para

dicha instalación.

La Dirección de Informática es la única autorizada para instalar el

software adecuado, de acuerdo al perfil y área de trabajo de los

usuarios.

La Dirección de Informática, debe velar porque el equipo se encuentre

conectado a un UPS o en su defecto a un regulador de voltaje, con el fin

de protegerlo de fluctuaciones de corriente. En caso de no poseer uno

de los dos, éste debe ser solicitado por el usuario a la Unidad de

Compras.

Los Usuarios deben utilizar protectores de pantalla institucional

protegidos por contraseña, para evitar que personas ajenas puedan

violentar la información procesada en ese instante.

La configuración de contraseñas debe ser solicitada a la Dirección de

Informática.








Nº PAG

Se le entrega a cada Dirección una carta de responsabilidad de cada

equipo asignado a su área, donde se detallan las especificaciones del

equipo y todo el software que se encuentra instalado, la cual debe firmar

en su entrega, cada modificación que se haga al equipo de software o

de hardware debe ser especificado en dicha carta.

Los usuarios deben verificar que la información y los medios de

almacenamiento, considerando al menos discos flexibles, CD's, cintas,

pendrives y cartuchos, estén libres de cualquier tipo de código malicioso,

para lo cual deben ejecutar el software antivirus autorizado por la

Dirección de Informática.

Los usuarios deberán asegurarse de respaldar la información que

consideren relevante cuando el equipo sea enviado a reparación y borrar

aquella información sensible que se encuentre en el equipo, previendo

así la pérdida involuntaria de información, derivada del proceso de

reparación.

LOS USUARIOS NO DEBEN

Pegar a los equipos (Monitor, CPU, teclado y ratón) e impresora

cualquier tipo de calcomanía o etiqueta, excepto la etiqueta de control

del inventario.

Cambiar los parámetros de configuración del equipo (impresoras

conectadas, resolución de vídeo, conexión a los servidores, fondo de

escritorio, protector de pantallas, configuración de red). Estos cambios

deben ser solicitados a la Dirección de Informática.

Intercambiar componentes tales como, teclado, ratón (mouse), CPU,

monitor, con otros equipos, sin la previa autorización de su supervisor

o del personal técnico de la Dirección de Informática.








Nº PAG

Consumir alimentos, bebidas y fumar en el área donde están instalados

los equipos.

Debido a que algunos virus son extremadamente complejos, ningún

usuario de FEPR debe intentar erradicarlos de las computadoras.

USO DEL CORREO ELECTRÓNICO INSTITUCIONAL

La Solicitud del servicio de correo electrónico institucional es

responsabilidad del Jefe o Jefa de Área para cada uno de sus

trabajadoras y trabajadores, mediante un memo indicando nombre,

apellidos y C.I. del usuario.

Cualquier problemática o anomalía en el servicio de correo electrónico

institucional, el titular de la cuenta deberá comunicarse con la Dirección

de Informática.

La Dirección de Informática asignará el nombre de usuario y contraseña

el cuál estará conformado por la inicial del nombre seguido del apellido

del trabajador. Si existe un trabajador con el mismo nombre se colocará

la inicial del segundo nombre, la contraseña asignada es genérica, el

usuario está en la obligación de cambiarla inmediatamente. La

contraseña deberá poseer un mínimo de 6 caracteres y deberá ser

combinada con números y letras.

La Dirección de Informática instalará y configurará en las estaciones un

programa cliente de correo electrónico, para facilitar el envío y recepción

de correo, para el acceso desde otro lugar es por medio del navegador

web.

Se proporcionará soporte técnico sólo al programa cliente de correo

electrónico institucional, salvo en circunstancias que sean debidamente

informadas y justificadas a la Dirección de Informática por el Director del








Nº PAG

área solicitante, que necesiten de otro cliente de correo externo diferente

al institucional.

Los usuarios no deben usar cuentas de correo electrónico asignadas a

otras personas, ni recibir mensajes en cuentas de otros.

El uso del correo electrónico es única y exclusivamente para temas

laborales según los recursos que tenga asignados y las facultades que

les hayan sido atribuidas para el desempeño de su empleo, cargo o

comisión, quedando prohibido cualquier otro uso.

Cada persona es responsable tanto del contenido del mensaje enviado,

como de cualquier otra información adjunta en el mismo. Cada uno de

los usuarios del servicio tiene la responsabilidad de asegurar el

cumplimiento de las leyes de copyright y licenciamiento cuando se

envían o reenvían correos electrónicos y archivos adjuntos. El no

cumplimiento de lo estipulado anteriormente, expone a la institución a

demandas judiciales. Cualquier violación que se registre hará pasible al

infractor de medidas disciplinarias que podrán concluir en el máximo

nivel de procesamiento permitido por la ley.

La Dirección de Informática realizará un monitoreo al servidor que aloja

el correo institucional para verificar las cuotas de uso por usuaria y

usuario; si la misma excede a 10 MB se tomarán correctivos.

La Dirección de Informática realizará un monitoreo de los correos

electrónicos que incluyan: cartas cadena, software pirata, juegos,

mensajes con virus o gusanos informáticos, material obsceno,

amenazante, invitaciones para integrarse a esquemas de pirámide con

intención de hacer propaganda, mensajes con motivos publicitarios con

fines lucrativos, comerciales o para negocio particular, mensajes con

intención de intimidar, insultar o acosar, racismo, envío masivo de

mensajes, cambiar o intentar cambiar su identidad en el envío de

correos y cualquier otro tipo de correos no solicitados (SPAM). Ninguno








Nº PAG

de estos u otros mensajes deberán utilizarse en contra de los intereses

de individuos o instituciones.

La Dirección de Informática programará el servidor de correo electrónico

institucional para bloquear los correos que contienen archivos adjuntos

con las siguientes extensiones: .exe, .scr, .pif, .hta, .com, .vbs, .dbx,

.cpl, .link o .bat. Lo anterior tiene el fin de reducir incidentes con virus

informáticos.

El envío de información confidencial o reservada vía correo electrónico

debe ir de manera encriptada y destinada exclusivamente a personas

autorizadas y en el ejercicio estricto de sus funciones y atribuciones

DE LAS CUENTAS DE USUARIOS Y USUARIAS

Es responsabilidad de la Dirección de Informática creara las cuentas de

usuario de cada uno de las trabajadoras o trabajadores.

El ingreso a la cuenta de un usuario es exclusivo de el, si se presentara

el caso de que se necesite acceder a la misma deber solicitarse por

escrito por el Director o en su defecto por el Jefe o Jefa del Área de

dicho trabajador.

El requerimiento de una nueva cuenta deberá solicitarse por escrito, por

el Director del área respectiva, mediante un memorando de solicitud de

servicio.

Sólo se concederá una cuenta a personas que sean trabajadoras y

trabajadores de la institución, a menos que estén debidamente

autorizados por la Dirección General.

Es responsabilidad de la Dirección de Informática-Coordinación de

Servidores, desbloquear las cuentas de usuarias y usuarios que por una

causa u otra hayan sido bloqueadas.








Nº PAG

Toda cuenta quedará automáticamente bloqueada después de treinta

días de inactividad, salvo excepción.

El Director o Directora de Informática deberá ordenar bloquear

inmediatamente la cuenta de una usuaria o usuario cuando reciba la

orden de la o el Director General, y en particular, cuando un trabajador o

trabajadora cesare en sus funciones, según lo informado por los

Directores o Jefes de Área.

Se debe informar a la Dirección de Informática de manera escrita, que

algún trabajador o trabajadora cesa sus funciones en la institución para

así bloquear la cuenta de usuario de dicha trabajadora o trabajador.

DEL ACCESO A INTERNET

El acceso a Internet debe ser solicitado a la Dirección de Informática por

el Director del Área solicitante, mediante un memo donde se indique el

nombre de usuario y el tipo de acceso solicitado, justificando su uso.

El uso para fines personales de los sistemas de computación

(incluyendo e-mail e internet) se encuentra limitado. Este último punto,

implica el estricto conocimiento y aceptación de que dicho servicio bajo

ningún punto de vista, debe interferir con las tareas que los empleados

deben realizar, o por lo tanto, la utilización para fines recreativos (y

respetando lo establecido en la presente norma), se encuentra sujeto a

horarios no laborables o a las horas de almuerzo.

El personal puede utilizar ocasionalmente Internet para asuntos

personales, se deja claramente asentado que esto constituye un

privilegio. Si bajo cualquier circunstancia, se establece que ésta ventaja

es abusada, se podrán tomar inmediatamente las acciones disciplinarias

que se estimen oportunas.








Nº PAG

Cada persona es responsable tanto de los sitios y como la información a

la que se accede con su cuenta de usuario como de toda información

que se copia para su conservación en los equipos de la Institución.

Cada uno de los usuarios del servicio tiene la responsabilidad de

asegurar el cumplimiento de las leyes de copyright y licenciamiento.

Esta aclaración aplica especialmente para los sitios visitados por

cuestiones de trabajo, pero también incluye para fines personales. El no

cumplimiento de lo estipulado anteriormente expone a la institución a

demandas judiciales. Cualquier violación que se registre, hará posible

que se tomen medidas disciplinarias contra el infractor, que podrán

concluir en el máximo nivel de procesamiento permitido por la ley.

En la medida de lo posible, los sistemas deben limitar el acceso a sitios

que pudieran perjudicar los intereses y la reputación de la organización.

Específicamente no deben accederse a aquellos sitios que contienen

información sobre sexo, racismo, violencia o material potencialmente

ofensivo o contrario a los intereses de la organización.

Todas las actividades desarrolladas en Internet, van a ser monitoreadas

constantemente por el personal de la Dirección de Informática.

DE LOS EQUIPOS INFORMÁTICOS Y DE TELECOMUNICACIONES

Es responsabilidad de la Dirección de Informática instalar los equipos

informáticos o de telecomunicaciones que se requieran en las

instalaciones de la institución.

Es responsabilidad de la Dirección de Informática velar por el buen

funcionamiento de los equipos informáticos o de telecomunicaciones que

se encuentren en la institución.








Nº PAG

Es responsabilidad de la Dirección de Informática desincorporar los

equipos informáticos o de telecomunicaciones que estén en mal estado

u obsoleto dentro de la Institución.

Los equipos informáticos o de telecomunicaciones de la institución sólo

deberán usarse para actividades de trabajo relacionadas con el cargo

desempeñado por el trabajador.

La Unidad de Redes es la responsable de realizar la instalación y

configuración de los equipos informáticos que se utilicen en la

institución.

Las usuarias o usuarios tienen prohibido modificar las configuraciones

físicas y de programas informáticos establecidas por la Dirección de

Informática.

La Dirección de Informática deberá velar porque los equipos informáticos

tanto en su área como en el resto del organismo, tengan instalados

protectores contra fallas de energía eléctrica.

La Dirección de Informática, en conjunto con el Área de Administración,

deberán tener un registro de todos los equipos informáticos o de

telecomunicaciones propiedad de la institución.

La Dirección de Informática deberá instalar y activar una herramienta

antivirus en todas las estaciones de trabajo de la institución.

La Dirección de Informática será responsable de planificar y efectuar el

mantenimiento preventivo y correctivo de los equipos informáticos o de

telecomunicaciones.

El personal de la Dirección de Informática tiene terminantemente

prohibido tramitar el mantenimiento de equipos que no sean propiedad

de la institución.

Es responsabilidad de la Dirección de Informática recomendar las

actualizaciones de los equipos con miras a conservar e incrementar la

calidad del servicio.








Nº PAG

Es responsabilidad de la Redes ensamblar e instalar los servidores

propiedad del organismo.

DE LOS RESPALDOS

La información que se procesa en la institución será respaldada por

periodos, de acuerdo a la frecuencia de modificación de la data, la cual

puede ser (Diarios, Semanales y Mensuales) y teniendo en cuenta los

niveles de importancia de la data.

Una vez concluido el proceso de respaldo de la información, se realizará

una prueba de funcionamiento utilizando el medio de respaldo, para

comprobar que las copias se han realizado con éxito.

La información almacenada se mantendrá por un periodo de tiempo

estimado por el Director de Informática.

Se recomienda que los servidores reciban mantenimiento preventivo y

correctivo, tomando en cuenta la programación de los respaldos

previamente establecida.

Los sitios donde se almacenen las copias de resguardo deberán estar

en condiciones físicas y ambientales optimas como: temperatura,

humedad, entre otras, según las normas estándares.

Estos ambientes deben disponer de seguridad complementaria, como

por ejemplo, cámaras de video, puertas con dispositivos de acceso,

entre otros.

El ambiente donde se encuentran los medios de almacenamiento, serán

de acceso restringido, en caso de ameritar el ingreso a este sitio, solo

será autorizado por el Director.

Se respaldarán los archivos de Auditoria de sistemas (logs), a nivel de

aplicaciones, accesos al sistema y gestión de archivos.








Nº PAG

Los servidores críticos deberán contar con RAIDs de discos, a los

efectos de que la información sensible no se vea afectada por

potenciales desperfectos en los discos.

Todo medio de almacenamiento con información crítica o secreta será

guardado bajo llaves, a la cual tendrá acceso únicamente el jefe del

área.

Los equipos o activos que procesen información crítica o secreta,

deberán aislarse y ubicarse en áreas protegidas con un nivel de

seguridad verificable, por las personas responsables de dicha labor.

DEL ACCESO AL ÁREA DE INFORMÁTICA

El acceso al Área de Informática será restringido y solamente podrá

ingresar el personal autorizado por el Director de Informática.

En el caso del acceso al Centro de Datos:

Ninguna persona podrá acceder al Centro de Datos sin antes llenar el

formulario de control de acceso, a excepción del personal de la

Coordinación de redes.

Todos los visitantes que ingresen al Centro de Datos deberán poseer

una identificación o un pase a la vista que claramente los identifique

como personal de la institución o como visitante y estas identificaciones

serán intransferibles, así como la tarjeta de proximidad.

La Dirección, División o Coordinación que requiera la modificación,

eliminación, respaldo, restauración o ejecución de alguna aplicación, que

repose en el Centro de Datos, deberá ser notificado vía correo a la

Dirección de Informática con 24 horas de anticipación, previa aprobación

a través de un correo indicando el día y la hora para realizar dicha

actividad. Esto con carácter obligatorio y sin excepción.








Nº PAG

Una vez finalizado el Rol de Guardia establecido por esta Dirección, no

se le permitirá el ingreso y/o estadía, del personal visitante ni tampoco

del adscrito a la institución, excepto por causas mayores que ameriten

su permanencia en el área.

Solamente el personal designado por la Dirección de Informática, esta

autorizado para manipular los dispositivos pertenecientes a la institución

que se encuentran en el Centro de Datos.

Todos los visitantes o personal ajeno al área deben ser acompañados

por personal autorizado durante su estadía en el Centro de Datos,

debido a la existencia de información confidencial y secreta.

Equipos como videograbadoras, cámaras fotográficas, grabadoras,

analizadores de datos, entre otros, no son permitidos dentro del Centro

de datos.

No se permite el uso de Laptop al personal visitante y adscrito a la

institución para realizar ningún tipo de labores, y si el caso lo requiere la

misma será facilitada por la Dirección de Informática.

Se restringe el uso de pendrives en el área del Centro de Datos, solo

será permitido al personal designado al área.

Todos los administradores de Red que manipulan los Servidores

deberán hacerlo con su usuario personal, esto para seguridad y

monitoreo de los cambios que se realizan. (Para esto se les debe

personalizar las cuentas de usuarios a los Administradores de Red en

los Servidores)

No se permite realizar ningún tipo de cambios en los servidores con el

usuario ROOT o ADMINISTRADOR, a excepción de aquellos casos que

los amerite.

Todo cambio que ocurra en el Centro de Datos a nivel físico o lógico

deberá ser notificado y registrado en los archivos de Bitácora destinadas

para tal fin.








Nº PAG

Toda información que repose en el Centro de Datos estará clasificada

como CONFIDENCIAL o SECRETA y no debe ser divulgada a terceros.

Las cintas que contienen todos los respaldos generales deberán ser

resguardadas en los sitios destinados para tal fin, fuera de la institución.

Los Administradores de Red, deberán cerrar las sesiones de cada uno

de los servidores una vez concluida las actividades en el mismo.

Solo tendrán acceso remoto a los servidores y servicios que se

encuentran en el Centro de Datos los administradores de Redes.

Es intransferible la credencial y la tarjeta de proximidad que posee el

personal designado en el área.

El uso de las claves de los dispositivos y servidores debe ser

intransferible y periódicamente cambiarlas, y al momento que algún

personal de la Dirección deje de laborar en la Institución se deberá con

carácter obligatorio cambiar todas las claves que se manejan para el

momento.

El personal de guardia deberá chequear que todos los servicios se

encuentren operativos al momento de retirarse de la institución.

El personal de guardia deberá asegurarse que todos los Racks y las

puertas de acceso al Centro de Datos estén cerradas al momento de

retirarse del organismo.

Todos los Racks deben de permanecer siempre cerrados bajo llaves,

mientras no se esté laborando en ellos.

Revisar los derechos de acceso de los usuarios a intervalos regulares.

Mantener de manera confidencial las claves secretas.

Cambiar las claves secretas a intervalos regulares.

La información clasificada como confidencial, debe estar protegida a

través de códigos de encriptación.

Los procedimientos de restauración deben chequearse y probarse

periódicamente para asegurar que sean efectivos y que pueden ser








Nº PAG

completados dentro del tiempo asignado en los procedimientos

operacionales de recuperación.

Los medios de respaldo se deberían probar regularmente para asegurar

que se pueden confiar en ellos y usarlos cuando sea necesario en caso

de emergencia.

Los dispositivos que manejan información confidencial deben ser

físicamente destruidos, borrados o sobrescrito, utilizando técnicas

apropiadas para asegurar que la información no puede ser recuperada

en su formato original.

No se permite sustraer un equipo o parte de éste del Centro de Datos de

cualquier forma, sin el correspondiente trámite para la autorización del

préstamo externo.

No dañar, deteriorar o hacer mal uso tanto del equipo como de las

instalaciones.

DE LA INSTALACIÓN DE LOS PROGRAMAS INFORMÁTICOS.

El Departamento de Informática será la responsable de la instalación de

los programas informáticos, en los equipos propiedad de la institución.

El Departamento de Informática debe estar en constante investigación

de nuevos programas y su factibilidad de instalación en los equipos

propiedad del organismo.

Capacitación constante del personal.

En los Equipos Informáticos de la institución, se dará preferencia a la

utilización de software libre, de acuerdo a lo establecido en el decreto

3390 que habla sobre la aplicación del software libre en la

administración pública venezolana abre una oportunidad para alcanzar

la soberanía tecnológica del Estado venezolano.








Nº PAG

En los Equipos Informáticos de la institución se le dará prioridad a la

instalación de software, autorizado por el Centro Nacional de

Telecomunicaciones e Informática (CNTI).

Los usuarios que requieran la instalación de software que no sea

propiedad de la institución o este dentro de los estándares establecidos,

deberán justificar su uso y solicitar su autorización a la Dirección de

Informática, a través de un oficio firmado por su Dirección General de

adscripción, indicando el equipo de cómputo donde se instalará el

software y el período de tiempo que permanecerá dicha instalación.

PARA PRESTAR SERVICIO TÉCNICO

El usuario debe solicitar el servicio de soporte y la unidad de atención al

usuario lo registrará en el sistema de control de llamadas solicitando los

siguientes datos

1. Fecha y hora: Fecha y hora en la que se registra la incidencia.

2. Área o Unidad: Ente que reporta la incidencia.

3. Usuaria o usuario: Nombre de quien reporta la incidencia.

4. Cargo de la usuaria o usuario: Cargo de quien reporta la

incidencia.

5. Soporte Técnico: Nombre del técnico que recibe la incidencia.

6. Descripción de la Falla: Descripción breve de la falla o incidencia

reportada.

El tiempo de respuesta dependerá del tipo de la falla que presenta el

equipo informático y de la cantidad de técnicos disponibles en el

momento, aunque se puede estimar por lo siguiente:

1. Cambio de equipo: una semana (3 días).

2. Reinstalación de programas de equipo: 2 días.

3. Desconexión de cables: 15 minutos.








Nº PAG

4. Re-configuración de dispositivos externos (impresoras, escaner):

3 horas.

5. Bloqueo de usuario: 15 minutos.

RESGUARDO DE LA INTEGRIDAD DE LA INFORMACIÓN

Como parte de sus términos y condiciones iniciales de empleo, los

empleados, cualquiera sea su situación de revista deberán asumir un

compromiso de confidencialidad o no divulgación, en lo que respecta al

tratamiento de la información del organismo.

Toda la información que se genere dentro de la institución es propia de

la institución, los empleados no tienen ningún derecho sobre la misma.

Ningún usuario puede divulgar a personas ajenas o de la institución

ningún tipo de información de tipo laboral confidencial que sea

manipulada por el.

Es responsabilidad de los usuarios almacenar su información

únicamente en la partición de disco duro identificada como “datos” o

similares, ya que las otras están destinadas para archivos de programa y

sistema operativo.

DE LAS SANCIONES

Clasificación de las faltas

Se determina como falta “grave” los siguientes incumplimientos de los

requerimientos de Seguridad de la Información:

Cuando la misma persona incurra en tres (3) faltas de importancia

media, le será imputada una falta grave, aplicándosele las sanciones

disciplinarias que correspondan a estos casos.

Instigación a la violación de las normas del Centro de Datos.








Nº PAG

Aprovechamiento de brechas de seguridad detectadas y no informadas.

La circulación de información difamatoria de cualquier tipo, ya sea contra

entidades o personas.

Se determina como falta “de importancia media” los siguientes

incumplimientos de los requerimientos de Seguridad de la Información:

Cuando la misma persona incurra en tres (3) faltas leves, le será

imputada una de importancia media, aplicándosele las sanciones disciplinarias

que correspondan a estos casos.

Visitas a páginas de Internet no autorizadas o que atenten contra la

moral y las buenas costumbres.

Obtención y uso de cuentas o claves de acceso a computadoras, correo

electrónico, sin la autorización de los usuarios.

Proporcionar contraseñas a otros usuarios ajenos a la Institución.

Se determina como falta “leve” los siguientes incumplimientos de los

requerimientos de Seguridad de la Información:

Comunicación informal de incidentes de seguridad y cualquier

comunicación exigida como formal que se lleve adelante informalmente

Instalación de software sin licencia o sin la conformidad del área de

sistemas.

La asignación no autorizada de Direcciones IP Certificadas y No

Certificadas de la Institución.

Determinación de Medidas de Sanción Disciplinaria

En caso que se demuestre un uso incorrecto o no aceptable con

respecto a lo especificado en este documento, la Dirección de Informática

procederá a la suspensión del servicio al funcionario y de ser necesario al

computador o dispositivo de red. Dependiendo de la gravedad y reiteración del








Nº PAG

incidente efectuará los siguientes tipos de suspensión de la red institucional:

1. Suspensión temporal del servicio: Ésta medida se aplicará cuando se

produzca una falta del tipo GRAVE. La violación de los términos de este

documento de forma premeditada o cuando se este causando una

degradación de los recursos de la red y/o implique alguna

responsabilidad. La acción consistirá en filtrar el tráfico relacionado con

el computador o dispositivo de red causante del incidente o bloquear el

tráfico de ese equipo, con lo que dicho equipo estará conectado a la Red

de Datos pero desconectado del Internet. Bloquear la Clave de Acceso

consiste en no permitir al funcionario el ingreso a la Red de Datos con su

nombre de usuario y clave de seguridad. En caso que el incidente este

afectando al resto de los activos de la Red, se procedería a la

desconexión física quedando el equipo sin acceso alguno a la Red.

2. Suspensión indefinida del equipo: Ésta medida se aplicará cuando se

incurra en infracciones del tipo: DE IMPORTANCIA MEDIA o una

reiterada violación de las condiciones de este documento, después de

los correspondientes avisos por parte de la Dirección de Informática. El

servicio podrá restablecerse cuando se considere que las medidas

adoptadas por el responsable del activo causante del incidente garantiza

un uso aceptable en el futuro.

3. Aviso de suspensión del servicio: En este caso se le hará una

recomendación al usuario acerca del buen uso que debe hacer de los

recursos informáticos del organismo. Esta notificación será mediante vía

correo electrónico, recordándole que en caso de volver a incurrir en un

incumplimiento de las normativas, le será aplicada una sanción del tipo

LEVE.








Nº PAG

De aplicarse algunas de las suspensiones del servicio descritas

anteriormente, serán presentadas ante la Dirección a la cual pertenezca el

usuario, ésta notificación se hará mediante un informe escrito, a fin de aperturar

un expediente disciplinario por los mismos hechos cometidos, dictar resolución

de acuerdo al tipo de falta cometida y sancionar al responsable de dicha

infracción,

En cada uno de los casos detectados de acuerdo con la gravedad de la

falta y los antecedentes del empleado, será evaluada una sanción disciplinaria

acorde con la infracción cometida por parte del usuario.

En caso del incumplimiento a las normativas descritas y la violación de

las políticas establecidas en el presente documento, los usuarios serán

sancionados con la suspensión del uso de Internet. Si el usuario no

cuenta con este tipo de servicio, le serán restringidos algunos de los

beneficios de la red de datos, según sea el caso durante 6 meses (un

semestre) para todo aquel personal del organismo que se encuentre

incurso en faltas de carácter GRAVE.





beneficios de la red de datos, según sea el caso durante 3 meses para

todo aquel personal que se encuentre incurso en faltas de carácter DE

IMPORTANCIA MEDIA.











Nº PAG


beneficios de la red de datos, según sea el caso durante (1) mes para

todo aquel personal del organismo que se encuentre incurso en faltas de

carácter LEVE.

La Impresión de los e-mails, archivos de logs o archivos actualizados

podrán ser utilizados como evidencia para los procedimientos disciplinarios o

penales.

Cualquier costo generado por el daño de la infraestructura de la Red

institucional, considerado como grave, según el caso, y de comprobarse

responsabilidad del usuario deberá indemnizar al Estado.

El incumplimiento o falta grave que atente contra el articulado de las

leyes nacionales relacionados con delitos informáticos (Contra la propiedad,

Sistemas tecnológicos, Privacidad de las personas y de las comunicaciones,

entre otros, serán presentados ante la Dirección de Informática, quien a su vez

la remitirá a la Dirección General de Recursos Humanos, a fin de formalizar la

denuncia del responsable y someter la autorización para elevar el caso a las

autoridades nacionales que les competa resolver estos ilícitos.

La Dirección de Informática podrá aplicar restricciones y medidas de

seguridad bajo el carácter de temporal o violación de la seguridad informática,

en cuyo caso tendrá un lapso de 30 días hábiles para someter a consideración

el caso, conjuntamente con las siguientes Direcciones: Recursos Humanos, y

donde pertenezca el usuario y decidir la suspensión definitiva o temporal. Esta

restricción o medida de seguridad se dejará sin efecto al cumplirse el lapso o

de culminar la suspensión o la violación de la seguridad.








Nº PAG

Las normativas y políticas se evaluaran periódicamente, y cualquier

acción disciplinaria derivada del incumplimiento de la misma (tales como avisos

de llamados de atención, suspensiones. entre otros. Será considerado de

acuerdo a los procedimientos establecidos por el organismo y en acato de las

estipulaciones legales vigentes. En cualquier caso, estas sanciones

disciplinarias no podrán ser superiores a un semestre.

NOTA: Si bien se citan algunas, aquellas que no caigan en los casos aquí

expuestos serán evaluadas oportunamente y su nivel de falta establecido a los

efectos de determinar la sanción.

Technology

Mps de la informacion